Register+Login: разные подходы для защиты данных? / ASP.NET

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Register+Login: разные подходы для защиты данных?

19 сообщений из 19, страница 1 из 1

#39912722

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

1. Новый юзер заходит на сайт, регистрируется, получает емейл подтверждения, подтверждает, логинится.
2. Юзер сам не регистрируется, юзеров регистрирует админ, но емейл подтверждения приходит юзеру и т.д.

Мне больше подходит вариант(2).

Т.е. если на сайте есть "чувствительные" данные, которые не должны быть доступны случайным юзерам,
то в случае (1) некий враг-юзер регистрируется, автоматически ему шлется емейл, он подтверждает и данные доступны.

Какие еще подходы есть?

...

Рейтинг:

0 / 0

11.01.2020, 10:20

| Ответить | Цитировать | Написать

#39912738

hVostt

Участник

Сообщения: 18 899

Рейтинг: 0 / 0

Ролг Хупин

Какие еще подходы есть?

Роли, полномочия, политики безопасности.

Не важно, как пользователь заведён в системе, руками или сам зарегался.
Необходимые права ему должно дать уполномоченное лицо.

...

Рейтинг:

0 / 0

11.01.2020, 11:42

| Ответить | Цитировать | Написать

#39912748

skyANA

Участник

Откуда: Зеленоград

Сообщения: 22 795

Рейтинг: 0 / 0

Ролг Хупин

Какие еще подходы есть?

Обсудить с заказчиком, кто его пользователи, какие роли исполняют и какие права имеют.

...

Рейтинг:

0 / 0

11.01.2020, 13:00

| Ответить | Цитировать | Написать

#39912862

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

hVostt

Ролг Хупин

Какие еще подходы есть?

да, но в п.1 и как получается практически по умолчанию в Blazor|ASP.NET проекте с момента регистрации юзера все делается автоматом и он получает доступ к сайту.

Я вот о чем: что-то бы сделать после того, как юзер подтвердил емейл, например, создавать account локнутым, и админ должен руками анлокнуть.Те чтобы окончательное решение принимал админ.

...

Рейтинг:

0 / 0

11.01.2020, 20:22

| Ответить | Цитировать | Написать

#39912864

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

hVostt

Ролг Хупин

Какие еще подходы есть?

ну, или создавать в какой-то роли типа "Странные", которая не имеет доступа к данным,
а админ потом руками передвигает юзера в роль "Юзеры"

...

Рейтинг:

0 / 0

11.01.2020, 20:25

| Ответить | Цитировать | Написать

#39912878

Дмитрий Мух

Участник

Откуда: Зеленоград

Сообщения: 2 722

Рейтинг: 0 / 0

Ролг Хупин

hVostt

пропущено...

Роли, полномочия, политики безопасности.

Не важно, как пользователь заведён в системе, руками или сам зарегался.
Необходимые права ему должно дать уполномоченное лицо.

К чему же такому имеет доступ пользователь после регистрации? К данным других пользователей что-ли? В чём проблема-то?

...

Рейтинг:

0 / 0

11.01.2020, 21:25

| Ответить | Цитировать | Написать

#39912885

hVostt

Участник

Сообщения: 18 899

Рейтинг: 0 / 0

Ролг Хупин

Фигню какую-то изобретаете. А потом сами будете страдать и те, кто за вами исправлять ваш косяк.

...

Рейтинг:

0 / 0

11.01.2020, 22:24

| Ответить | Цитировать | Написать

#39912904

stenford

Участник

Откуда: урал

Сообщения: 2 741

Рейтинг: 0 / 0

Ролг Хупин

2. Юзер сам не регистрируется, юзеров регистрирует админ, но емейл подтверждения приходит юзеру и т.д.

Мне больше подходит вариант(2).

Т.е. если на сайте есть "чувствительные" данные, которые не должны быть доступны случайным юзерам,
то в случае (1) некий враг-юзер регистрируется, автоматически ему шлется емейл, он подтверждает и данные доступны.

если это корпоративная система, то юзеры в ней сами не регистрируются, их учетки с дефолтным паролем создает админ, который юзеры потом меняют

...

Рейтинг:

0 / 0

12.01.2020, 00:20

| Ответить | Цитировать | Написать

#39912939

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

Дмитрий Мух

Ролг Хупин

пропущено...

ну, или создавать в какой-то роли типа "Странные", которая не имеет доступа к данным,
а админ потом руками передвигает юзера в роль "Юзеры"

Именно так, сама задача в этом: работа с данными юзеров, персональными и другими. Потому и вопрос.
База сейчас в туче. Клиент - старый винформс, там админ создает юзеров.
Т.е. любой юзер, имеющий доступ к данным - ответственность админа.

...

Рейтинг:

0 / 0

12.01.2020, 09:47

| Ответить | Цитировать | Написать

#39912940

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

hVostt

Ролг Хупин

Фигню какую-то изобретаете. А потом сами будете страдать и те, кто за вами исправлять ваш косяк.

начало хорошее, как надо, чтобы была не фигня?

...

Рейтинг:

0 / 0

12.01.2020, 09:48

| Ответить | Цитировать | Написать

#39912954

Дмитрий Мух

Участник

Откуда: Зеленоград

Сообщения: 2 722

Рейтинг: 0 / 0

Ролг Хупин

Дмитрий Мух

пропущено...
К чему же такому имеет доступ пользователь после регистрации? К данным других пользователей что-ли? В чём проблема-то?

Вот вы зарегистрирогвались на SQL.ru вы имеете доступ к чужим данным?
Только ограниченный: на просмотр того, что разрешено. Но права модератора вам могут быть назначены.

Советую обсудить этот вопрос с заказчиком. По идее регистрация вообще не горит.
Админ может также создавать пользователей, а они уже логиниться через веб-приложение.

А потом уже и прикрутите регистрацию.

...

Рейтинг:

0 / 0

12.01.2020, 12:23

| Ответить | Цитировать | Написать

#39912955

Дмитрий Мух

Участник

Откуда: Зеленоград

Сообщения: 2 722

Рейтинг: 0 / 0

Ролг Хупин

hVostt

пропущено...

Фигню какую-то изобретаете. А потом сами будете страдать и те, кто за вами исправлять ваш косяк.

начало хорошее, как надо, чтобы была не фигня?

Вообще не делать пока регистрацию.
Сделайте уже веб-приложение, к которому имеют доступ существующие пользователи, с тему функциями, что им нужны.

У заказчика сколько там пользователей в месяц новых? Пяток-то хоть наберётся?
На мой взгляд странно у вас приоритеты расставленны: тратите время на всякие ДБ хелперы и прочую фигню.

...

Рейтинг:

0 / 0

12.01.2020, 12:27

| Ответить | Цитировать | Написать

#39913017

hVostt

Участник

Сообщения: 18 899

Рейтинг: 0 / 0

Ролг Хупин

начало хорошее, как надо, чтобы была не фигня?

Обычно всё это выясняется до разработки. Как надо, как хочет бизнес. Как будет удобно пользователям. Какие роли имеются, характер данных, которые требуется защищать.

Не важно, каким образом пользователи появляются в системе, сами регистрируются или их заводит админ, в системе должны быть предусмотрены права, которые может выдать пользователю уполномоченное лицо, тот же админ к примеру. Таким образом, вы с одной стороны обеспечите вопрос контроля, с другой расширяемость.

Так как количество ролей может быть расширено в дальнейшем, с разными правами.

...

Рейтинг:

0 / 0

12.01.2020, 19:56

| Ответить | Цитировать | Написать

#39913025

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

Дмитрий Мух

Ролг Хупин

пропущено...

Именно так, сама задача в этом: работа с данными юзеров, персональными и другими. Потому и вопрос.
База сейчас в туче. Клиент - старый винформс, там админ создает юзеров.
Т.е. любой юзер, имеющий доступ к данным - ответственность админа.

1. Вот вы зарегистрирогвались на SQL.ru вы имеете доступ к чужим данным?
Только ограниченный: на просмотр того, что разрешено. Но права модератора вам могут быть назначены.

Советую обсудить этот вопрос с заказчиком. По идее регистрация вообще не горит.
Админ может также создавать пользователей, а они уже логиниться через веб-приложение.

2. А потом уже и прикрутите регистрацию .

1. не совсем подходящий пример, я и после регистрации не имею доступ к данным юзеров, это разные задачи.
Здесбь другой подход, как раз обратный, регистрироваться может кто-угодно, но забанят, если, например, юзер будет посылать всех на юх.
А в моем случае - допустить к данным юзеров того, кто сам зарегистрировался - стремно.

2. да, понял, логично,

...

Рейтинг:

0 / 0

12.01.2020, 20:25

| Ответить | Цитировать | Написать

#39913035

Дмитрий Мух

Участник

Откуда: Зеленоград

Сообщения: 2 722

Рейтинг: 0 / 0

Ролг Хупин

Дмитрий Мух

пропущено...

1. Вот вы зарегистрирогвались на SQL.ru вы имеете доступ к чужим данным?
Только ограниченный: на просмотр того, что разрешено. Но права модератора вам могут быть назначены.

Советую обсудить этот вопрос с заказчиком. По идее регистрация вообще не горит.
Админ может также создавать пользователей, а они уже логиниться через веб-приложение.

2. А потом уже и прикрутите регистрацию .

1. не совсем подходящий пример

Пример состоит в том, что права просто так не раздаются.
И уж тем более тупо при регистрации.

Думаю и у вашего заказчика кому попало доступа к чужим данным не дают.
И прежде чем мутить какие-то там регистрации, советую выяснить то, кому, как, когда и зачем раздают логины сейчас.

...

Рейтинг:

0 / 0

12.01.2020, 21:27

| Ответить | Цитировать | Написать

#39913055

ViPRos

Участник

Сообщения: 9 731

Рейтинг: 0 / 0

Дмитрий Мух,

он ж играется, портфолио создает :)

...

Рейтинг:

0 / 0

12.01.2020, 23:33

| Ответить | Цитировать | Написать

#39913057

ВМоисеев

Участник

Откуда: Редкино

Сообщения: 2 426

Рейтинг: 0 / 0

>hVostt, сегодня, 19:56 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321103&msg=22057561][22057561]
>...в системе должны быть предусмотрены права, которые может выдать пользователю уполномоченное лицо, тот же админ к примеру...
<пришлось столкнуться с ситуацией, когда уполномоченное лицо выдает права конкретному пользователю для конкретного приложения

...

Рейтинг:

0 / 0

12.01.2020, 23:57

| Ответить | Цитировать | Написать

#39913322

Ролг Хупин

Участник

Откуда: Чебаркуль

Сообщения: 4 817

Рейтинг: 0 / 0

ViPRos

Дмитрий Мух,

он ж играется, портфолио создает :)

не надо наговаривать, это реальная задача, я пытаюсь пробиться через потемки недопонимания, моего в теме. ;-)

...

Рейтинг:

0 / 0

13.01.2020, 17:10

| Ответить | Цитировать | Написать

#39913376

Изопропил

Участник

Сообщения: 33 046

Рейтинг: 0 / 0

Ролг Хупин

А в моем случае - допустить к данным юзеров того, кто сам зарегистрировался - стремно.

Зачем доступ сразу давать?

пусть регистрятся сколько угодно,
Только бесправными.
Совсем.

А разрешения на что либо кроме логона - админ выдаст

...

Рейтинг:

0 / 0

13.01.2020, 20:15

| Ответить | Цитировать | Написать

19 сообщений из 19, страница 1 из 1

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Register+Login: разные подходы для защиты данных?

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=18&tid=1354811]:	0ms
get settings:	11ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	59ms
get topic data:	14ms
get forum data:	3ms
get page messages:	58ms
get tp. blocked users:	2ms
others:	15ms

total:	184ms