В каком слое слоистой архитектуры веб приложения должен осуществляться контроль доступа?

Question

[tukbaevbr]

В каком слое слоистой архитектуры веб приложения должен осуществляться контроль доступа?

Comments

[Steppp]

Ничего не понятно, но очень интересно!
Если вы о том, что разделять пользователей на авторизированных, забаненых, гостей, админов! Если об этом, то где вы это сделаете то там и будет!
Не понятен вопрос если честно(

Answer 1

[Владимир Коротенко]

А вы уверены что это джун вопрос? Я бы сказал все зависит . Причём что забавно развешивал это все на 2 нижних уровня

Comments

[tukbaevbr]

А вы уверены что это джун вопрос?

- о чем это? Вроде я про джунов ничего не говорил.

[Владимир Коротенко]

tukbaevbr, Это видимо перверсия. Такого плана вопрос могут задать каждому, мы продуктивно его обсуждали недавно минут 15. Обе стороны остались довольны ответами

Answer 2

[Сергей Горностаев]

Аутентификация и авторизация протоколозависимые, обычно, соответственно и контроль осуществляется на уровне контроллеров. Сервисному слою или слою доступа к данным неоткуда знать про JWT, например.

Comments

[tukbaevbr]

Аунтентификация - платформозависима. Но авторизация происходит после аутентификации когда уже известен id пользователя, те авторизация не зависима от jwt или cookies. Если конечно я правильно это понимаю.
Сервисному слою конечно не зачем знать про jwt и прочее, но как мне кажется он вполне может знать id текущего пользователя. Например, контроллер может передать user_id в качестве параметра методу сервисного класса. Выглядит вроде как логично - "выполнить операцию для/от имени такого-то пользователя". Но опыта у меня маловато. Не могу выбрать - оставить контроль доступа в контроллере или в сервисный слой поместить. Чувствую себя буридановым ослом. Отсюда и возник вопрос.

[Сергей Горностаев]

tukbaevbr, здесь нет всегда и везде верного решения, выбирать надо наиболее подходящее конкретному случаю. В подавляющем большинстве моих случаев - это был слой непосредственно взаимодействующий с пользователем.

Answer 3

[acwartz]

Если говорить об ангуляре, то это уровень сервиса + перехватчика (interceptor). Первый просто держит метод авторизации/выхода из сеанса, т.е. запускает процесс авторизации, второй извлекает/подставляет во все идущие запросы ранее известный токен доступа чтобы клиент был авторизован, опять же обращаясь к этому же сервису чтобы так сказать ловить момент когда сервис передаест что клиент уже не залогинен и старый токен надо удалить.