在通过 RESTful 服务公开用户资源(用户数据)的上下文中,如果第二个用户不是该数据的所有者,我希望不能从其他用户访问其中一个用户的数据。与其重新发明一些复杂的模型来映射每个用户身份及其数据(编程解决方案),是否有一些最佳实践或设计模式或任何类型的模型可以应用于这个问题?使用用户配置文件,我保证某种用户无法访问另一种用户的数据,但我不能确定同一配置文件的用户不会访问另一个用户数据。
问问题
93 次
1 回答
0
您要么需要对用户进行身份验证,然后将用户与数据(您称之为复杂/程序化)相关联,要么您只是让数据对除了创建它的用户之外的所有人都不可读。就像用户使用私钥加密所有数据然后将其存储在您的服务器上一样。这有点不同,因为任何人都可以访问数据,他们只是无法理解它。
我不推荐第二种方法,因为您将无法使用个人资料数据(生日、兴趣、您在该个人资料中可能拥有的任何内容),而且每个人都可以看到加密数据。
但是您认为这是在重新发明复杂事物的想法是自相矛盾的,如果它是如此复杂,那么当您可以使用大量 基于 插件的身份验证方案时为什么要重新发明它。在这种情况下,安全是事后才想到的吗?如果是这样,那不应该。如果您对此有保证,那么交付它应该是一个高优先级。
于 2012-06-22T05:53:28.090 回答