这是一个我一直在努力解决的问题。我们有一种情况,我们已经创建了许多应用程序。这些在一段时间内有机增长。
所有这些应用程序都内置了权限代码,用于控制对应用程序各个部分的访问,具体取决于当前登录的用户是否具有必要的权限。
除了这些应用程序之外还有一个实用程序应用程序,它允许管理员将用户映射到所有应用程序的权限 - 它的工作方式是每个应用程序都有代码读取所述实用程序应用程序的外部数据库以检查当前是否已登录用户是否拥有必要的许可。
现在,问题是这个。用户权限映射信息是否驻留在应用程序本身中并由应用程序本身拥有,或者是否可以将此信息驻留在外部实体/ DB中(如本例中的实用程序应用程序的数据库)。
我的一部分认为应用程序权限非常特定于应用程序上下文本身,因此不应与应用程序本身分开。但我不确定。
有何评论?
答案 0 :(得分:1)
您应该阅读联合身份,这是新的趋势。
我们有超过10年的历史,我们在所有应用程序中都使用了一个集中用户身份验证和授权的库。它与AD松散耦合,具有集中的角色和权限,由用户社区根据业务需求而非网络人员进行管理。
我们的设计使我们能够接受联邦身份实践的新趋势以及基于声明的身份,并简单地更新我们的库,允许所有应用程序,其中一些是用VB6编写的,以使用当前的安全要求。