Вопрос к специалистам в разработке веб-приложений и бизнес...
8 сентября 2011 в 14:57

Вопрос к специалистам в разработке веб-приложений и бизнес аналитикам

Профи, нужны Ваши советы.
Работой с веб: создание и т.п. до сего дня не занимался. Безусловно бюудет привлекаться программист/программисты профессионалы, но на данном этапе необходима консультация: мне самому необходимо разобраться.
Вкратце суть идеи:
Создаётся веб-сервис.
Функционал понятен и речь не о нём.
Необходимо обеспечить доступ к информации пользователя только того пользователя, которому она принадлежит.
Пользователей может быть много.
Какие-то данные у них могут совпадать (теоретически, например, какой-то набор символов).
Так вот и необходимо обеспечить разграничение доступа.
То есть, чтобы к информации одного пользователя не имел доступ другой.
Чтобы даже если набор символов в обрабатываемых данных (не идентификатор пользователя, а тех данных, которое пользователь предоставлет для обработки) у разных пользователей совпал, то доступ к этим данных должен иметь только тот, кому они принадлежат: каждый к своей части.
Буду благодарен за советы.
Готов побеседовать он-лайн и оффлайн.
Крайне интересен опыт (реальный опыт тех, кто действительно занимался данным вопросом) в Яндексе и других платных сервисах — там, думается, к данному моменту относятся достаточно серьёзно.
Интересует не то чтобы передрать, а именно чтобы не изобретать велосипед.

254
Комментарии (11)
  • 8 сентября 2011 в 17:19 • #
    Сергей Поленок
  • 8 сентября 2011 в 20:59 • #
    Андрей Мамонтов

    1) Сретификаты.
    Например, у веб-мани (www.webmoney.ru) очень даже много защиты:
    http://ru.wikipedia.org/wiki/X.509
    (или общая заметка http://ru.wikipedia.org/wiki/%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BE%D0%B9_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82)

    2) SSH (http://ru.wikipedia.org/wiki/SSH) для удалённого администрирования. Вот этот мы настраивали на своём сайте www.erumpo.ru.

    3) Просто длинный пароль. Такое тоже бывает. Только опасно, нужно хоть чтобы цифра,буква,цифра и т.д. Так как есть много нехороших людей, которые взламывают сайты словарными методами.

    4) Купленные в спец.службах пары ключей (раньше такие были, по крайней мере, можно было купить), чтоб уже точно было отмечено, что никто не вскроет, скорее всего. Сейчас, может уже и нет, не знаю.

    и т.д.

  • 9 сентября 2011 в 19:46 • #
    Сергей Палий

    Если речь не идет о грифе "Совершенно секретно" и государственных тайнах, для таких задач хорошо подходит Drupal (не смотря на ее бесплатность - достаточно серьезный инструмент с мощной системой разграничения прав доступа).

  • 12 сентября 2011 в 09:56 • #
    Виктор Шиков

    Сергей, не СС - точно. ))
    Спасибо за совет. будем смотреть.

  • 12 сентября 2011 в 10:11 • #
    Сергей Палий

    Если интересно - могу вывесить простенький сайт с тестовым доступом в админку, понравится - могу помочь с разработкой.

  • 12 сентября 2011 в 10:14 • #
    Виктор Шиков

    Сергей, я Вас, с Вашего позволения поставлю в "мемориз" и как доберёмся до данного этапа - Ваше предложение будет интересным. Ок?

  • 12 сентября 2011 в 10:22 • #
    Сергей Палий

    Конечно.

  • 10 сентября 2011 в 17:12 • #
    Alexander Brovkin

    Здравствуйте, у нас есть подобные решения. Есть к примеру массив данных и в нем стоят флаги, какие данные кому принадлежат. Пользователь заходит под логином и паролем и может видеть или править только тот блок, который ему принадлежит. Все это очень гибко настраивается

  • 12 сентября 2011 в 09:59 • #
    Виктор Шиков

    Александр, возникает сразу вопрос: кто ставит флаги?

  • 12 сентября 2011 в 11:45 • #
    Alexander Brovkin

    Есть несколько вариантов. Это ставит или администратор вручную, или все ставится автоматом - есть некий файл например в CSV или аналогичном формате где указано, в каких местах и какие флаги надо поставить.

  • 20 сентября 2011 в 16:37 • #
    Кирилл Селиванов

    доступ к информации не по методу - разрешено, то что не запрещено, а по методу - запрещено все, что не разрешено.
    Тогда каждый получает только то, что его.

    разграничение прав - в зависимости от технологий на котором он будет писаться.


Выберите из списка
2018
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
май(1), июль(1)