Salve,
supponiamo di avere un'applicazione a cui possono accedere utenti con ruoli diverso Ogni utente può eseguire delle azioni in base al proprio ruolo e in base alla sua identità.
Cosi ad esempio quando un utente clicca sul pulsante di modifica di un messaggio si controlla se l'autore del messaggio coincide con l'utente. In ogni pagina devono quindi essere eseguiti controlli di questo tipo; se ci sono molti tipi di utenti e molte possibili azioni la logica delle autorizzazioni viene ad essere "sparpagliata" su tutte le pagine ed è difficile gestirla e tenerla sotto controllo.
Voi come implementereste la cosa? Io pensavo di creare un componente (manager delle autorizzazioni) che può essere riferito ovunque nell'applicazione e in grado di concedere o negare un'azione. Pensavo di assegnare un codice identificativo ad ogni tipo di azione (ad esempio inserimento di un messaggio, modifica di un messaggio, ...), e all'oggetto su cui è eseguita l'azione (ad esempio il codice del forum ed eventualmente il codice del messaggio se l'azione riguarda un messaggio già inserito). Il manager delle autorizzazioni in base a questi codici risponde in modo affermativo o meno.
Ad esempio il manager delle autorizzazioni sa che in caso di modifica di un messaggio deve verificare che l'autore del messaggio coincida con l'utente corrente ed esegue la verifica interrogando le opportune tabelle del database. Chi scrive le pagine non deve preoccuparsi di come verificare le autorizzazioni, di quali tabelle andare a leggere, deve solo inviare la richista al manager.
Cosa ne pensate? Avete altre idee o conoscete altri modi standard di gestire la cosa?
Grazie e ciao.
Rispondi quotando
