Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 13.05.2014, 13:48
Аватар для Shasoft
Профессор
Отправить личное сообщение для Shasoft Посмотреть профиль Найти все сообщения от Shasoft
 
Регистрация: 03.03.2009
Сообщений: 156

Как не показывать страницу пользователю, у которого нет прав
К примеру есть у нас страница, которую нужно показывать только авторизованному пользователю. Но проверка прав написана на js, т.е. все это проверяется на клиенте. Соответственно никто не мешает клиенту обмануть сервер и запросить данные, которые ему не должны быть доступны.

Решения (что мне в голову пришло )
1. При загрузке шаблона страницы проверять: есть ли у пользователя права на эту страницу?
2. При загрузке данных проверять, есть ли у пользователя права на данные для этой страницы?

пп.1 простой в реализации, но его "секурность" слабо говоря не на высоте.
пп.2 вроде всё закрывает, но при этом его реализация сложнее.

Собственно какие ещё есть идеи?

p.s.можно писать даже бредовые идеи, тема создана как раз для обсуждения.
Ответить с цитированием
  #2 (permalink)  
Старый 14.05.2014, 06:32
Аватар для FireVolkhov
Аспирант
Отправить личное сообщение для FireVolkhov Посмотреть профиль Найти все сообщения от FireVolkhov
 
Регистрация: 17.04.2013
Сообщений: 88

Только пп.2, т.к. от пп.1 толку мало.
Ответить с цитированием
  #3 (permalink)  
Старый 14.05.2014, 13:45
Аватар для Shasoft
Профессор
Отправить личное сообщение для Shasoft Посмотреть профиль Найти все сообщения от Shasoft
 
Регистрация: 03.03.2009
Сообщений: 156

В общем понятно. Судя по вагону идей кроме пп. 2 больше ничего и нет.
p.s. Хотя это и было ожидаемо, но всё-таки была надежда "а вдруг".
Ответить с цитированием
  #4 (permalink)  
Старый 18.05.2014, 19:49
Аспирант
Отправить личное сообщение для rockerror Посмотреть профиль Найти все сообщения от rockerror
 
Регистрация: 07.11.2011
Сообщений: 54

Нельзя проверять права на клиенте. Соовсем. Вообще. Никогда. Никак. Ни при каких обстоятельствах). Даже банальную валидацию на клиенте нужно дублировать на сервере.
Ответить с цитированием
  #5 (permalink)  
Старый 19.05.2014, 09:52
Аватар для Shasoft
Профессор
Отправить личное сообщение для Shasoft Посмотреть профиль Найти все сообщения от Shasoft
 
Регистрация: 03.03.2009
Сообщений: 156

Вы сначала написали что нельзя, и тут же описали случай когда это можно делать - дублировать.
Ответить с цитированием
  #6 (permalink)  
Старый 24.01.2015, 16:48
Аспирант
Отправить личное сообщение для rockerror Посмотреть профиль Найти все сообщения от rockerror
 
Регистрация: 07.11.2011
Сообщений: 54

Валидация на клиенте делается для пользователя. То есть чтобы не тратить его время на отпраквку невалидных данных. Это вопросы UI. А валидация на сервере происходит для безопасности. А в топике речь идет именно о безопасности. Сори, что долго отвечал
Ответить с цитированием
  #7 (permalink)  
Старый 24.01.2015, 19:43
Аватар для danik.js
Профессор
Отправить личное сообщение для danik.js Посмотреть профиль Найти все сообщения от danik.js
 
Регистрация: 11.09.2010
Сообщений: 8,804

rockerror, тебя похищали ОНИ? Главное, что вернули
__________________
В личку только с интересными предложениями
Ответить с цитированием
  #8 (permalink)  
Старый 24.01.2015, 20:53
Аватар для Vlasenko Fedor
Профессор
Отправить личное сообщение для Vlasenko Fedor Посмотреть профиль Найти все сообщения от Vlasenko Fedor
 
Регистрация: 13.03.2013
Сообщений: 1,572

Сообщение от danik.js
rockerror, тебя похищали ОНИ? Главное, что вернули
обоснуй в чем он не прав
Сообщение от rockerror
Нельзя проверять права на клиенте. Соовсем. Вообще. Никогда. Никак. Ни при каких обстоятельствах). Даже банальную валидацию на клиенте нужно дублировать на сервере.
Ответить с цитированием
  #9 (permalink)  
Старый 24.01.2015, 22:32
Аватар для danik.js
Профессор
Отправить личное сообщение для danik.js Посмотреть профиль Найти все сообщения от danik.js
 
Регистрация: 11.09.2010
Сообщений: 8,804

Poznakomlus, ты пьян? Не бузи, иди проспись )
__________________
В личку только с интересными предложениями
Ответить с цитированием
  #10 (permalink)  
Старый 24.01.2015, 22:36
Аватар для danik.js
Профессор
Отправить личное сообщение для danik.js Посмотреть профиль Найти все сообщения от danik.js
 
Регистрация: 11.09.2010
Сообщений: 8,804

Ок, я тебе немного помогу:
__________________
В личку только с интересными предложениями
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как определить нажата какая-либо клавиша или нет? Бобр Общие вопросы Javascript 34 11.11.2016 18:42
Как запретить пользователю делать несколько ws-соединений одновременно dmitry111 Оффтопик 7 29.04.2014 04:59
Как сделать ссылку на страницу видимой при определенных условиях? zonkon Общие вопросы Javascript 2 03.10.2013 13:04
Аддон для Firefox как парсить конкретную страницу ? Torero Firefox/Mozilla 16 26.09.2013 21:02
Как узнать свернуто окно браузера или нет. bar-boss Events/DOM/Window 3 25.09.2008 16:09