Как завернуть роли пользователей в отдельный файл с защитой?

Question

[Ivan Stroykin]

Доброго времени суток,

В приложении есть роли, по которым я прописал доступ как к разделам так и к определенным частям раздела. Все хорошо работает, но при изменении доступов или при добавлении/удалении роли бегать по всем файлам не "айс". Поэтому решил вынести все роли в JSON, чтобы можно было легко в одном месте делать изменения. Пока в голову пришло только хранение файла в assets, либо брать при инициализации приложения с backend (предпочтительнее). Но если использовать JSON, то он будет в открытом доступе и легко изменяем (слишком легко). Есть ли у кого какие идеи как всё это получше завернуть? Может какое шифрование? Спасибо

Comments

[Алексей Ярков]

либо брать при инициализации приложения с backend (предпочтительнее)

он будет в открытом доступе и легко изменяем (слишком легко)

Каким образом?

Может какое шифрование?

А на фронте расшифровывать? Все равно алгоритм расшифровки будет доступен и получится шило на мыло ))

[Ivan Stroykin]

Алексей Ярков:

он будет в открытом доступе и легко изменяем (слишком легко)

я больше склонюсь к получения JSON с backend, но меня сильно смущает, что можно будет во вкладке Network спокойно посмотреть кому что доступно )
Про шифрование крикнул не подумав, каюсь :)

В итоге вот сижу, думаю...как бы правильно все это сделать, чтобы было меньше "палева", так как про некоторые разделы многие даже не в курсе. Я не боюсь что кто-то каким-то образом откроет страницу, так как backend не пропустит ни информацию ему, ни информацию от него. Но все же хотелось бы, чтобы такого не было. Или, как говорится, свести такую возможность к самому минимуму :)

[Алексей Ярков]

Иван Стройкин: правильно будет проверять доступ на сервере

[Ivan Stroykin]

Алексей Ярков: Тут смысл такой, что всё это в итоге отправится в БД, и нужно передавать фронту разрешения. Я тут подумал, что мысль передавать JSON с ролями - глупость, когда можно передавать просто "show" типа boolean для определенной роли. Так образом усекаем знание о ролях. Это как минимум )
Напишите в ответ. Я все выберу. В принципе суть мне уже ясна: убираю упоминание о ролях и присылаю во время инициализации данные по конкретной роли запрашиваемого без списка ролей

Answer 1

[Алексей Блышко]

В общем случае проблема разграничения доступов решается на бэкенде - непосредственно на уровне доступа к данным.

Если это сделать - на фронте подойдет и json - если злоумышленник его и подменит, он не получит от этого профита - даже если он и зайдет в закрытый раздел, он все равно ничего не сможет сделать.

Answer 2

[emp1re]

Плюсую nekt , хранить роли/юзера нужно в singleton что бы решить проблему "бегать по файлам" для ангуляра это Service

Answer 3

[Алексей Ярков]

либо брать при инициализации приложения с backend (предпочтительнее)

он будет в открытом доступе и легко изменяем (слишком легко)

Каким образом?

Может какое шифрование?

А на фронте расшифровывать? Все равно алгоритм расшифровки будет доступен и получится шило на мыло ))

Правильно будет проверять доступ на сервере