为用户和管理使用单个应用程序(使用不同的auth方法)并将它们分离为两个应用程序
为用户和管理使用单个应用程序(使用不同的auth方法)并将它们分离为两个应用程序
提问于 2016-01-25 16:57:49
我正在创建一个人力资源管理应用程序,它允许员工和人力资源管理员访问。现在,我面临着一个最佳实践问题。
肯定有两个用户:员工和人力资源管理。我只想问一下,将HR管理端和员工端放在一个应用程序中,并为HR管理和employee提供不同的页面(这将由登录帐户的帐户类型决定)是否会带来安全风险。这是否被认为是最佳做法,还是不构成安全问题/威胁?或者我应该创建两个单独的应用程序(对于员工端和人力资源管理端)?
谢谢!
回答 2
Security用户
回答已采纳
发布于 2016-01-25 19:23:53
如果操作正确,这两个选项都可以工作。一般来说,我更喜欢使用相同的应用程序,因为它更容易维护,特别是如果这两个应用程序共享大量公共代码的话。但是,有一些考虑因素可能会使天平偏向于两个不同的应用程序,主要是:
- 将单独的HR应用程序锁定为比简单的登录角色更容易。例如,员工应用程序可以通过互联网公开访问,但HR应用程序可以锁定到内部网络,甚至是某些用户的工作站。
- 在没有访问权限的情况下,强行为HR应用程序强制一个有效的登录将更加困难。
- 有了一个应用程序,开发人员就有可能犯错误,不小心向常规用户公开管理功能。这显然不会发生在不同的应用程序。(这就是为什么我在第一句中强调“如果做得正确”。)
Security用户
发布于 2016-01-25 18:25:47
您肯定可以使用单个应用程序。虽然比两个单独的应用程序实现起来可能要复杂一些,但使用一个具有多个访问级别的应用程序是常见的做法,也是可以接受的。
身份验证对于这两种方法都很重要,但是使用一个应用程序时,您必须确保所有的管理功能都受到保护。每次执行只有管理员才能执行的操作时,请检查用户访问级别。使用这种方法的好处是您不必为共享功能重用任何代码/页面,并且您只有一个应用程序需要维护/修补。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/111675
复制相关文章
相似问题
腾讯云开发者
