Стоит ли хранить зашифрованные данные пользователя в Local/Session Storage на клиенте?

Question

[Денис]

Доброго времени суток!
Задумка:
При входе в систему 1-н раз сделать запрос на права пользователя (его действия с объектами, например, имеет ли пользователь обращаться к определенной таблице или делать вставку, кто он и т.д.). На выходе получаю (пример) следующее результирующее множество в виде многомерного массива:

$arr = [ 
    [
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't1', 
        'ac' => 'SELECT'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы',
        'obj' => 't1', 
        'ac' => 'INSERT' 
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't1', 
        'ac' => 'UPDATE'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't1', 
        'ac' => 'DELETE'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't2', 
        'ac' => 'SELECT'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Формы', 
        'obj' => 'log', 
        'ac' => 'INSERT'
    )
  ];

Что хочу:
Сгенерировать пригодное для хранения представление массива (сериализовать) и закодировать полученные данные. Далее отправить код хранится в Session Storage.

Для чего:
Тут, скорее, уже ближе подхожу к своему вопросу, который напишу ниже.
Чисто субъективное мнение, чтобы каждый раз не обращаться к БД и не тратить на это время, можно получить зашифрованные данные из хранилища браузера и передать обработчику, который, в свою очередь, рассериализует и раскодирует зашифрованные данные в обратном порядке. А с помощью пользовательской ф-ции, например такой:

function handler(array $arr, ...$par) {
    $flag = false;
    if (is_array($arr)) {
        foreach ($arr as $key => $val) {
          if(is_array($val)) {
            $compare = array_diff($par, array_values($val));
                if (count($compare) < 1) {
                    $flag = true;
                    return $flag;
                }
            }
        }
    }
}

$q = handler($arr, 't1','INSERT', 'Таблицы');
if ($q) {
    echo "Совпадения найдены!";
}
else {
    echo "Совпадения НЕ найдены!";
}

смогу понять, к примеру, может ли пользователь делать записи в таблицу "t1" или нет, какая у него роль и т.п.
Т.е. все эти манипуляции для того, чтобы каждый раз не обращаться к БД.

Теперь САМ ВОПРОС:
1. Стоит ли так делать и почему;
2. Какой будет прирост производительности (разница обращение к файлу обработчика vs стучаться в БД);
3. Как Вы решаете подобные вопросы.

Если я ошибаюсь, подскажите пути решения!

Всем удачи и хорошего настроя на весь день!

Answer 1

[FanatPHP]

Это просто идеальная иллюстрация к известному высказыванию Дональда Кнута "Преждевременная оптимизация - корень всех зол".

Сначала высасываем из пальца проблему: "тратится время на обращение к бд". Сколько там его тратится, тратится ли вообще, замедляет ли это систему, является ли вообще это проблемой - все эти вопросы нам неинтересны. Мы хотим грудью на амбразуру, стать героем и получить медальку.

После этого начинаем проблему решать.
Значит, чтобы сэкономить время на запросе к базе, которая обычно лежит локально и обычное обращение занимает микросекуны, мы решаем закэшировать данные на клиенте. Который может быть в тысяче километров, а пинг в сотни миллисекунд - не редкость. И вот мы решаем что клиент будет с каждым запросом отправлять массив данных. Причем таких данных, которые на сервере и так. есть. Гениально!

Стоит ли так делать и почему;
не стоит потому что не надо высасывать проблемы из пальца.
Какой будет прирост производительности
Отрицательный
Как Вы решаете подобные вопросы.
МЫ ИХ НЕ РЕШАЕМ.
Мы решаем реальные проблемы, объективно существующие.
А воображаемые проблемы высосанные из пальца решать не следует.

Answer 2

[ThunderCat]

Ахренеть, то есть если я, допустим, пользователя понизил в правах, то по вашей логике я должен лично к нему домой причапать и почистить куки/сторэйдж. Это гениальное решение, решающее несуществующую проблему! Браво!

Comments

[Денис]

Во-первых, спасибо за мнение. Да, я полностью с ним согласен.
Во-вторых, *Охренеть (с точки зрения морфемики).
В-третьих, это всего лишь теоретический вопрос, а не практическое применение.

[ThunderCat]

Денис, Во-первых - пожалуйста.
Во-вторых - это была какография - намеренное искажение слова с целью эмоциональной окраски.
В-третьих - вопросы преждевременной оптимизации уже оптимальных процессов и хранения данных, к модификации которых пользователь не должен иметь доступа на клиенте - это базовые вещи, хорошо что вы задумываетесь и спрашиваете хотя бы перед практической реализацией таких сомнительных практик, немного хуже что пока не умеете проводить самостоятельный анализ, но это уже больше с опытом приходит...

[Денис]

ThunderCat, с точки зрения SQL, спроектировал структуру и построил запросы таким образом, что многомиллионные записи в таблицах, включая "сложные" запросы обрабатываются и выдаются за максимум 3-и сотых секунды. Проводил ряд эталонных тестирований. Показатели отличные! Дополнительно отмечу, у меня нет проблем с анализом. Как по-Вашему сделать анализ если нет результата? Опыт же приходит на основе проб и ошибок. Вы все делаете правильно?
Вы поймите меня, я никого не хочу обидеть, я ко всем отношусь с уважением, даже если поставить в пример FanatPHP , который "съязвил" (ответил) мне в своем стиле. Кстати, судя по его вопросам, которые никак не связаны с тематикой программирования, он больше интересуется административной частью тостера. По этому поводу ему уже посоветовали начать с себя, но "Наполеон" не может, у него стиль такой и я его отлично понимаю. У меня другой вопрос, откуда у него такой богатый опыт, что он все знает и ничего не спрашивает? А ответов у него много!

[FanatPHP]

Денис, всё просто, когда у меня есть вопрос, я иду в гугл а не на тостер :)

[Денис]

FanatPHP, извиняюсь, что перешел на личности и хочу поблагодарить за ответы, спасибо!

[FanatPHP]

Денис, я тоже извиняюсь за тон ответа. Меня иногда заносит ради красного словца

[Денис]

FanatPHP, польщу Вам. Почитал несколько ответов и сообщений и понял, мне нравится Ваш стиль. Серьезно!

[FanatPHP]

Спасибо.
Но все равно мне нужно реагировать спокойнее

[ThunderCat]

Денис,

Опыт же приходит на основе проб и ошибок. Вы все делаете правильно?

Нет конечно, просто подозреваю что у меня опыта немного больше, по этому с моей точки зрения ваше решение выглядит как плохо проанализированное, с замахом на оптимизацию и так хорошо работающего кода.

Как по-Вашему сделать анализ если нет результата?

Анализ он не всегда на основе результата, иногда просто логически надо подойти. Например подумать, "а как вася будет распоряжаться данными на локальной машине?" Основной принцип разработки в модели взаимодействия с клиентом - клиент всегда хитрая жопа, ищущая как вас... обмануть. И код соответственно пишется исходя из этого подхода.

Answer 3

[xmoonlight]

Ни в коем случае.
Храните в серверном кеше для данной сессии или в самой сессии.

Почему? Небезопасно доступы хранить у клиента!

Answer 4

[irishmann]

1. Не стоит так делать. Потому что все что приходит от клиента, должно проверяться.
2. Как следствие, производительность упадет.
3. Храню сессиях.

Answer 5

[index0h]

1. Стоит ли так делать и почему;

Нет. Проверка прав должна выполняться на сервере и не зависеть от внешних систем, к которым нет доверия (это я про фронт). Фактически вы контроль доступа хотите передать другой стороне.

2. Какой будет прирост производительности

Прирост то будет, но меньше, чем вы надеетесь. Но не делайте так, еще раз.

3. Как Вы решаете подобные вопросы.

Один раз разобрался с https://symfony.com/doc/current/security.html и пользуюсь.

Answer 6

[Robur]

Если вы раскодируете и что-то проверяете на клиенте - то и кодировать не надо. Это можно использовать только для улучшение UX - например показать пользователю сразу доступные ему пункты в меню.

Если вы раскодируете и проверяете права на сервере, чтобы не лезть в БД, так делать можно, хороший пример - JWT, так же можно много чего попроще придумать.
Можно не значит нужно - выше вам правильно сказали, чтобы оптимизировать запросы к БД надо сначала начать страдать от медленных запросов к БД.

Answer 7

[Владимир Коротенко]

Вот основные причины.
https://habr.com/ru/post/349164/
https://habr.com/ru/post/143259/

В общем храните в сторадже некритичную информацию, даже можете хранить роль в системе, если ваш фронтэнд предполагает разное поведение для разных ролей, но единственное чему можно доверять это идентификатор сессии в паре с ip. Все остальное доставайте на сервере. Если будет проседать, то поставьте redis для кэширования