Niveau correct pour vérifier l'autorisation et l'authentification de l'utilisateur

Question

Quel est le meilleur endroit pour vérifier l'autorisation et l'authentification de l'utilisateur. Le niveau métier ou la couche application?

À mon avis, c'est le niveau application. Il ne peut pas laisser l'utilisateur effectuer des actions pour lesquelles l'utilisateur n'a pas assez de privilèges.

L'activité ne doit concerner que les services métier et exposer ces services à des niveaux de confiance. Utiliser un mot de passe pour se protéger contre un accès non autorisé.

Mais peut-être que je me trompe ici.

Answer 1

Cela dépend de la façon dont vous avez architecturé votre application. Si la couche d'application et la couche de gestion font partie du même processus, vous pouvez effectuer vos vérifications d'authentification et d'autorisation uniquement dans la couche d'application. Les faire dans la couche application permet en effet de désactiver les fonctionnalités que l'utilisateur n'est pas autorisé à utiliser. Toutefois, si vous avez architecturé votre couche de gestion dans des services distincts, vous devez savoir qui les appelle et ce que ces utilisateurs peuvent faire. Vous aurez besoin d'authN et d'authZ à ces limites de sécurité.

Les sous-systèmes approuvés ne fonctionnent que si vous vous assurez que les parties non approuvées ne peuvent jamais appeler ce code.