使用解析时,ACL是否应该进入客户端代码?这对我来说似乎不安全,因为在创建新对象时,有人只能更改ACL代码吗?也许我只是误解......
希望得到一些澄清。谢谢!
答案 0 :(得分:0)
你是对的。将安全性移动到客户端允许攻击通过将网络消息直接发送到您的服务器来绕过安全性。必须始终在服务器上检查访问控制。
也就是说,如果添加基于权限的UI元素,它可以经常改善用户体验。根据您的实现,可以在客户端或服务器上做出显示条件元素的决定。例如,如果当前用户具有管理员权限,您可能希望显示其他UI元素。您是否直接使用ACL或特定于应用程序的决策方式在很大程度上是一个选择问题。关键是,即使您可能有条件用户界面,始终也会检查服务器上的权限。