|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton, Нет. - в js свои контроллеры и своя БЛ. А бэк просто последний рубеж. Как FK в субд ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 13:13 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Tsyklop пропущено... У меня REST приложение. Бэк на спринге, а фронт на ReactJS. У меня сервер ничего не знает про фронт. У него есть ресурсы, которые он обслуживает. Запросы можно делать через тот же Postman. Посему роли нужны на бэке. Понятное дело, что фронт знает роль юзверя и в зависимости от этого отрисовывает UI. При такой постановке знание фронту своей роли - ничего не даёт. Фронт полностью зависит от бэка и просто отрисовывает то что ему дали. Фронт должен знать, что для каких-то пользователей отрисовывать пункт(ы) меню, кнопки и т.д. не нужно. Как фронт может узнать это? Один из вариантов роль. Фронт и бэк отдельные штуки. Бэк не отдает фронт вообще никак. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 13:56 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
в общем нагородили на пустом месте кучу проблем себе и счас их решаем.... ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 14:29 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя в общем нагородили на пустом месте кучу проблем себе и счас их решаем.... Скорее всего Вы не делали таких приложений, раз так говорите. Но могу ошибаться. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 15:38 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Tsyklop Скорее всего Вы не делали таких приложений, раз так говорите. Но могу ошибаться. Tsyklop Фронт и бэк отдельные штуки. Бэк не отдает фронт вообще никак. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 15:45 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
топик меньше пяти страниц - деньги на ветер ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 22:23 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Tsyklop mayton пропущено... При такой постановке знание фронту своей роли - ничего не даёт. Фронт полностью зависит от бэка и просто отрисовывает то что ему дали. Фронт должен знать, что для каких-то пользователей отрисовывать пункт(ы) меню, кнопки и т.д. не нужно. Как фронт может узнать это? Один из вариантов роль. Фронт и бэк отдельные штуки. Бэк не отдает фронт вообще никак. Что-то в этом не то. Какая-то натяжка. Если я слегка изменю фронт - то получается в вашей системе безопасности - я поднял себе привилегии. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 22:40 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton , задача BE - обеспечить безопасность. Задача UI - показать те элементы, которые не будут создавать впечатление что у пользователя есть права хотя на самом деле их нет. Например, на этом форуме у админов наверняка есть возможность удалять посты. Было бы неправильно показать кнопку обычным пользователям - они бы получили ошибку если бы попробовали нажать на нее. Поэтому как BE, так и UI должны знать что пользователь может, а что не может. При этом код (HTML, JS, CSS) и основные данные для страницы (тема, пост, авторы) оба пользователя возможно получат одинаковые и эти данные никак не влияют на отрисовку. UI будет основывать решение рисовать или нет как раз на роли/привилегиях. Это все что пытается донести Tsyklop . ... |
|||
:
Нравится:
Не нравится:
|
|||
28.10.2021, 23:22 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, в браузере решается? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 05:45 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Поэтому как BE, так и UI должны знать что пользователь может, а что не может. Я согласен с тезисом о кнопке. Но что-то есть неправильное в том что знание UI определяет возможности что-то сделать. При некоторых условиях это может быть вектором атаки. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 09:48 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя , да. Можно еще конечно на BE генерить HTML страницы, но счас это редкость - последний проект на котором я такое видел был 8 лет назад.. mayton Stanislav Bashkyrtsev Поэтому как BE, так и UI должны знать что пользователь может, а что не может. Я согласен с тезисом о кнопке. Но что-то есть неправильное в том что знание UI определяет возможности что-то сделать. При некоторых условиях это может быть вектором атаки. И атаки должны останавливаться на сервере. Отрисовка HTML за security никак не отвечает. Разве что речь про XSS, однако тут опять же - где бы мы не генерили страницу, об этом надо помнить. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 09:53 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя в браузере решается? Stanislav Bashkyrtsev вадя , да. я зайду в отладчик и задам доступ ко всему что захочу я зайду в отладчик и увижу всю структуру конечный юзер должен видеть только то , что ему разрешено не только на экране но и в коде. а это определяется при построении html страницы Stanislav Bashkyrtsev . Какая разница это на сервере или в браузере бы делалось? и опять таки - продвигают SSR - правда через одно место - сначала сгенерят охеренную строку. потом из этой строки сгенерят обыкновенную html строку. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 10:12 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev И атаки должны останавливаться на сервере. ведь уже сколько раз писали , что стоит только залезть в код и столько можно вытащить данных, целые таблицы. для нормального юзера - отображается только разрешённая ему часть, а в самом браузере - всё , что есть на сервере ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 10:16 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Видите друзья, какую мы интересную тему затронули. Фронт и безопаность. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 10:38 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя вадя в браузере решается? Stanislav Bashkyrtsev вадя , да. я зайду в отладчик и задам доступ ко всему что захочу я зайду в отладчик и увижу всю структуру Код: javascript 1.
или без прав Код: javascript 1.
где дыра? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 10:42 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Видите друзья, какую мы интересную тему затронули. Фронт и безопаность. Что там интересного-то? Есть поток данных, есть поток меты, все. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 10:54 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Еще есть поток мыслей от вади, и это создает интересные завихрения в обсуждениях. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:06 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Stanislav Bashkyrtsev Поэтому как BE, так и UI должны знать что пользователь может, а что не может. Я согласен с тезисом о кнопке. Но что-то есть неправильное в том что знание UI определяет возможности что-то сделать. При некоторых условиях это может быть вектором атаки. Не надо параноить. Роли, логины, пароли ходят по сети в виде хешей или шифрованных строк токенов. Если шифр взломал, то получил админские права. Не о чем рассуждать. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:08 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Я просто говорил о том что не стоит потенциальному злоумышленнику предоставлять информацию о том что "здесь была кнопка". ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:11 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Если я слегка изменю фронт - то получается в вашей системе безопасности - я поднял себе привилегии. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:11 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
PetroNotC Sharp mayton Если я слегка изменю фронт - то получается в вашей системе безопасности - я поднял себе привилегии. И я с этим согласен. Есть принцип минимального знания и минимальной привилегии. Я - за соблюдение обоих. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:12 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Я просто говорил о том что не стоит потенциальному злоумышленнику предоставлять информацию о том что "здесь была кнопка". Часто кнопки идут с маркером Скрыто. Что тебе даст кнопка скрытая "Перевести 1млн долларов" ? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:14 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
PetroNotC Sharp mayton Я просто говорил о том что не стоит потенциальному злоумышленнику предоставлять информацию о том что "здесь была кнопка". Часто кнопки идут с маркером Скрыто. Что тебе даст кнопка скрытая "Перевести 1млн долларов" ? Хочешь поиграть с огнём? Начни шарить в фейсбуке скрины со своего банковского кабинета. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:23 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton, Чтобы получить страницу ты должен войти))). А если сбер узнал кто ты, то и прятать кнопку не особо нужно. Но все зависит от паранойи ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:37 |
|
|
start [/forum/topic.php?fid=59&msg=40107980&tid=2120322]: |
0ms |
get settings: |
12ms |
get forum list: |
8ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
56ms |
get topic data: |
3ms |
get forum data: |
1ms |
get page messages: |
499ms |
get tp. blocked users: |
1ms |
others: | 2710ms |
total: | 3292ms |
0 / 0 |