|
|
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Добрый вечер коллеги! Интересует следующее: чем и насколько чревата имитация создания пользователей "программным" способом. Поясню - речь идет о том, чтобы вместо использования механизма создания и подключения пользователей на стороне сервера, использовать подключение под одним и тем же пользователем для всех. Таким образом, при создании аккаунта мы уходим от понятия логина (при авторизации будет комбобокс с ФИО-ми), пароль же будет шифроваться в мд5 и хранится в таблице пользователей. Такой метод я еще не использовал, обходился классическим способом, но заказчик категорически против логинов :) Хочет чтобы их не было совсем. Пришлось придумать вышеописанное :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 20:36 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
rtfm trusted autentification ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:24 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Softologic, Ну, например, чревато отсутствием разграничения прав доступа на уровне базы (использвания прав ролей/пользователей), отсутствие вменяемого журналирования действий пользователей в процедурах/триггерах. Проблему можно решить приблизительно так: 1. Создаётся таблица соответствия логинов и отображаемых имён пользователей. Логины создаются автоматически (при добавлении пользователей либо простой нумерацией "USER1", "USER2" и т.п., либо преобразованием кирилицы в латиницу "Иванов П.С." -> "IVANOV_P_S", либо ещё хэш знает как-нибудь). 2. Перед подключением пользователя происходит подключение под специальной учётной записью, которая может читать только эту таблицу соответствий. Пользователь выбирает из списка себя и выполняет соединение уже под своим логином. Сами логины в списке выбора можно и не отображать, чтобы заказчик не кипятился. Ну, или, как уже подсказали выше, можно использовать trusted autentification. Тогда пользователю вообще ничего вводить не надо, но есть некоторые но. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:39 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
trusted autentification не подойдет. По той причине, что перелогиниваться через выход из системы не вариант - долго (розничная точка с большой проходимостью в торговом центре в мск) и нужны параллельно открытые программы... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:42 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Softologicперелогиниваться через выход из системы не вариант А зачем вообще перелогиниваться-то? Раз уж начальству пофиг на безопасность, разграничение прав и всё остальное, что написали выше, то зачем вообще имена пользователей? Пусть все работают под одним SYSDBA. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:46 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Dimitry SibiryakovРаз уж начальству пофиг на безопасность... На это может и пофиг, но, скорей всего, это просто широко распространённый синдром "не-хочу-печатать-много-букв-хочу-тыкать-мышкой". Ведь "и-так-пароль-набирать-приходится"! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:52 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Dimitry SibiryakovSoftologicперелогиниваться через выход из системы не вариант А зачем вообще перелогиниваться-то? Раз уж начальству пофиг на безопасность, разграничение прав и всё остальное, что написали выше, то зачем вообще имена пользователей? Пусть все работают под одним SYSDBA. Разграничение прав он видит в двух вариантах - SYSDBA (неогран. права) и все остальные (с ограниченными правами, настраиваемые и реализуемые программно). Как то так. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:54 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
SoftologicКак то так.Это НЕ разграничение прав. :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 21:58 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
dennis-rSoftologicКак то так.Это НЕ разграничение прав. :) На уровне базы согласен, но на уровне программы вполне. В общем, скорее всего сделаю с автогенерацией логинов все же. Спасибо всем за комментарии и советы! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 22:01 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
у меня в одной системе сделано именно так программа ходит в базу под одним логином и паролем в зависимости от того, какой пароль вводят, перелогинивается с найденной ролью в базе и программе ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2015, 22:29 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Softologic, да сделай логин и пароль тупо одним и тем же ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 00:01 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
SoftologicДобрый вечер коллеги! Интересует следующее: чем и насколько чревата имитация создания пользователей "программным" способом. достаточно давно пользуюсь данным методом, могу поделиться наработками, есть уже готовый механизм управления пользователями, правами, форма ввода логина, и т.д. где то на форуме уже выкладывал пример, найду повторю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 06:16 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Пример правда староват Delphi 2007 test.rar ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 06:20 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Softologic, Когда-то давно делал как у Вас описано: - таблица юзеров с шифр. паролями, ФИО, даже аватар))) - подключение к БД идет только под SYSDBA, - при заходе в программу имя выбирается из списка, - есть тип пользователя и взависимости от него настраивается вид приложения (доступность пунктов меню) - ID пользователя, тип хранятся глобально после входа в проложение, - количество однеовременно запущенных копий приложения на 1 машине неограничено (даже под одним логином) - при необходимости в параметрах запросов перадается ID пользователя (если надо зафиксировать его действия, например пометить что запись удаленена и кем) Как-то так... Без проблем работало не один год, нареканий не было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 08:09 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Softologictrusted autentification не подойдет. По той причине, что перелогиниваться через выход из системы не вариант - долго (розничная точка с большой проходимостью в торговом центре в мск) и нужны параллельно открытые программы...Ужоснах. Шляются все кому не лень, работают с деньгами и лень заводить пароль? Страна непуганых идиотов, простите мой аглицкий. Кури в строну УСБ токенов и аутентификация оными в домене винды, далее трастет аутентификация. У каждого юзера свой токен на шее на веревочке, отошел комп заблокировался, пришел, воткнул в разъем, разблокировался. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 09:01 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
kaktus1983, не надо ходить обычным пользователям под SYSDBA. Если уже надо всем ходить под одним пользователем, то заведи отдельного и дай ему все права. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 09:33 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
У нас пользователи программные. SQL-пользователь для юзеров свой - бесправный. Коннект приложения выполняют только с указанием роли. SQL-ролей с правами на таблицы, вьюхи, процедуры в базе по необходимости несколько. Роль для приложения прописана каждому жёстко. А вот права юзерам ещё и дополнительно прописываются программно (кто какую роль в системе имеет право выполнять: начальник, кассир, бухгалтер и т.п.). Каждая программа коннектится к базе общим бесправным SQL-пользователем своей SQL-ролью. Авторизует пользователя программно по логину/паролю, проверяет его права и уже только после этого впускает в интерфейс, если тот имеет право. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 10:03 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
o_v_aУ нас пользователи программные. SQL-пользователь для юзеров свой - бесправный. Коннект приложения выполняют только с указанием роли. SQL-ролей с правами на таблицы, вьюхи, процедуры в базе по необходимости несколько. Роль для приложения прописана каждому жёстко. А вот права юзерам ещё и дополнительно прописываются программно (кто какую роль в системе имеет право выполнять: начальник, кассир, бухгалтер и т.п.). Каждая программа коннектится к базе общим бесправным SQL-пользователем своей SQL-ролью. Авторизует пользователя программно по логину/паролю, проверяет его права и уже только после этого впускает в интерфейс, если тот имеет право. программные пользователи - признак того, что разработчики не знают СУБД :) кроме SELECT, UPDATE, INSERT и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 12:30 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
MaratIsk, еще программные пользователи - признак трехзвенки. Потому что обычные пользователи в web или трехзвенке нафиг не нужны. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 16:16 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Hello, Kdv! You wrote on 11 июня 2015 г. 17:10:10: Kdv> еще программные пользователи - признак трехзвенки. > Потому что обычные пользователи в web или трехзвенке нафиг не нужны. +500 Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 17:09 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
kdvMaratIsk, еще программные пользователи - признак трехзвенки. Потому что обычные пользователи в web или трехзвенке нафиг не нужны. А можно поподробнее пожалуйста, почему они (в web или трехзвенке) не нужны? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 18:01 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Softologic, в вебе по многим причинам. Начиная с того, что зачастую в вебе пользователи добавляются автоматом при регистрации, а для добавление пользователя в СУБД нужны не маленькие права. Никто в здравом уме не даст выполнять DDL запросы при каждой регистрации пользователя. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 18:04 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
SoftologicА можно поподробнее пожалуйста, почему они (в web или трехзвенке) не нужны? во-первых, количество коннектов к СУБД в трехзвенке или веб обычно не равно и сильно меньше, чем коннектов в клиент-сервере. Иначе смысл трехзвенки теряется. во-вторых, исходя из первого пункта, пользователь не может быть извне спроецирован на коннект к СУБД. И это не нужно. Потому что пользователей веба или трехзвенки может быть миллионы, но одновременно будут работать максимум тысячи или десятки тысяч (есть такой принцип, понятый еще в телефонии - трехзвенкой была "барышня", которая соединяла абонентов). отсюда следует, что - права пользователей веба или трехзвенки регулируются правами веба или трехзвенки, а не СУБД, тем более что система прав веба или трехзвенки может совсем не совпадать с правами SQL (как минимум, разграничение доступа на уровне записей). - соответственно, для веба (всяческие форумы, e-commerce, e-education и проч) обычно требуется только 1 пользователь СУБД (не SYSDBA). Для трехзвенки пользователей может быть потребуется побольше, зависит от системы. И т.д. как-то так. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 18:14 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
Симонов Денисkaktus1983, не надо ходить обычным пользователям под SYSDBA. Если уже надо всем ходить под одним пользователем, то заведи отдельного и дай ему все права. kdv обычно требуется только 1 пользователь СУБД (не SYSDBA). Подскажите, а чем чревато если этот 1 пользователь будет именно SYSDBA, при условии, что добавление пользователей и ролей в будущем исключается? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 20:03 |
|
||
|
Программные пользователи. Чревато?
|
|||
|---|---|---|---|
|
#18+
kaktus1983Подскажите, а чем чревато если этот 1 пользователь будет именно SYSDBA, да ё-мое. для SYSDBA не выполняются никакие проверки прав, и на него не действует shutdown БД. Фактически это root для СУБД. Существует масса систем, в которых "все пользователи - SYSDBA", из-за чего как раз проблемы с shutdown. Тут уже говорили, что если не хотите N пользователей СУБД - создайте ОДНОГО, и дайте ему все права. Но он не будет SYSDBA. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2015, 20:16 |
|
||
|
|
start [/forum/topic.php?fid=40&msg=38981845&tid=1562775]: |
0ms |
get settings: |
9ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
31ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
51ms |
get tp. blocked users: |
1ms |
| others: | 300ms |
| total: | 422ms |
| 0 / 0 |
