Недавно обнаружив шаблоны разработки, и получавший превосходную Главную Первую книгу Шаблонов разработки (может действительно рекомендовать это!), я теперь задаюсь вопросом о шаблонах разработки для безопасности и управляю доступом к записям в хранилищах данных.
Мой вариант использования является сделанным на заказ приложением стиля CRM, с контактами, компаниями и пользователями, у которых есть разные уровни доступа, включая то, чтобы быть ограниченным доступом только для чтения или даже подмножество записей. Я буду только делать отличное управление доступом уровня объекта, не полевой уровень.
Кто-либо может рекомендовать, чтобы безопасность ориентировала шаблоны разработки, которые будут соответствовать вышеупомянутому?
Если это имеет значение, я использую ASP.NET MVC, Платформа Объекта 4 и SQL Server 2008.
Безопасность - это то, что мы называем сквозной проблемой, и с ней никогда не бывает легко справиться.
Если вам нужно разобраться с безопасностью на уровне ASP.NET MVC, вам стоит посмотреть учебник по MVC :
Если вы хотите узнать больше о безопасности на уровне доменной модели, интересный вопрос уже был задан:
Надеюсь, это поможет
.Существует группа шаблонов, связанных с безопасностью, хотя большинство из них предназначены для защиты интегрированных систем. Я не нашел ни одной книги, которая была бы так хорошо написана и пригодна для использования, как GOF / Head-first, хотя мне понравилась книга в Интернете по адресу www.securitypatterns.org .
Безопасность - это как архитектура (установка серверов, топология сети ...), так и программирование, поэтому я бы рекомендовал вам начать с книги по общей безопасности. Также возьмите книгу, посвященную безопасности .NET / Windows, поскольку надежное программирование безопасности очень зависит от технологии (я, как программист UNIX / Java, буду иметь совершенно другой набор инструментов, чем программист .NET, и, к сожалению, не могу помочь вам с книгой по этой последней теме).
Хорошее место для начала по безопасности (хотя это не обязательно книга «Шаблоны проектирования безопасности») - это Росс Андерсон Security Engineering .