Как защитить мое приложение ColdBox?

Я делаю свои первые шаги с ColdBox и просто застрял. У меня есть две таблицы базы данных, пользователи и фирмы, и каждый пользователь принадлежит одной фирме. После того, как пользователь вошел в приложение, он может перечислить каждую фирму, но может только редактировать фирму, которой он принадлежит.

Итак, как я могу сделать так, чтобы у пользователя была только ссылка для редактирования для его фирмы? И как мне обезопасить фирменный обработчик и действие редактирования?

Я работаю с ColdBox VirtualEntityService и Coldfusion ORM. Должен ли я написать функцию в UserService, которая проверяет права пользователя?


coldfusion coldbox
person android    schedule 01.05.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ваши разрешения на редактирование должны каким-то образом быть частью сеанса, и ваше представление должно содержать некоторую логику, чтобы компания была «редактируемой» и отображала ссылку редактирования. Конечно, вашему контроллеру нужно будет дважды проверить разрешения пользователя, когда кто-то действительно использует ссылку редактирования, чтобы убедиться, что у него действительно есть необходимые разрешения.

Это похоже на вопрос "стандартной логики" и не имеет отношения к Coldbox. Я не эксперт по CB, но я не думаю, что в CB есть что-то специально предназначенное для вашего дела. Речь идет просто о написании хорошего контроллера и кода проверки, а также о том, что хранить в пользовательской сессии.

person Mark A Kruger    schedule 01.05.2012