"Tüm verileri getiriliyor sonra, GUI kullanıcı / düzenleyebilir erişimi sadece ne görüntüler yüzden."
Web sitelerinde erişim kontrolü ile ilgili bir sık hata senaryo getiriliyor veri için bunları uygulamak, ancak veri yazma senaryo değildir. Bu genellikle "kullanıcı sadece biz o düzenleme olabilir ona kaynaklara istekleri düzenleme bizi gönderir" varsayımın sonucudur. Ne yazık ki ...
Ben senin soru içeriğinde bu nokta coudln't gibi, ben sadece veri değiştirme istekleri alırken GUI bina değil, aynı zamanda ne zaman etkili erişim kontrolü ele emin tavsiye ederim.
: Biz aşağıdaki senaryoyu düşünün
- Kullanıcı o meşru erişim sahip verileri getirir.
- Bunun kullanıcı istekleri sürümü veri söyledi. Adlı bir baskı biçimi artık görüntülenir düşünelim.
- Kullanıcı değişikliklerle formu gönderir.
- Onu Makineyi terk etmeden önce, kullanıcı HTTP isteği yakaladığını ve başka tanımlayıcı tarafından düzenlenen kaynak tanımlayıcı yerine, hangi o erişimi olmamalıdır için.
Senin modeli düzenleme isteği alırken, erişim kontrolü kuralları da uygulanmasını sağlamak mı? Bir SQL benzeri senaryo, böyle altındaki ilk ya da aşağıdaki ikinci olarak bir istek şablonu kullanarak konum soran çevirmek olacaktır:
1) "GÜNCELLEME ... WHERE ID = x"
2) "GÜNCELLEME ... WHERE ID = x AND (SELECT ... DAN ... NEREDE userID = y)"
Senin modeli ilk olması daha muhtemeldir ise, o zaman bir yetkilendirme modeli sorun olabilir. Else, tamam olmalıdır.
Umarım yardımcı olur.
sb.