Hiện nay các web app thực hiện phân quyền như thế nào?

Hiện tại tui chỉ mới nghĩ ra 2 cách:

  • Thêm thuộc tính role chia làm nhiều bậc.
  • Tạo một cái “cổng” chặn truy cập các feature của admin khỏi tài khoản thông thường.

Vậy không biết là hiện nay các webapp thực hiện việc phân quyền như thế nào? Ví dụ như daynhauhoc chẳng hạn.
Xin cảm ơn.

  • Json web token (JWT) đối với CSR, SSR dùng session, trong session có chứa role (đúng role thì được access vô URL, giao diện hiện chức năng tương ứng với mỗi role, không đúng role thì redirect về home hoặc báo 401, 403) đó là về technical
  • còn về design database thì mỗi user có một nhóm quyền, list quyền. Bạn tìm hiểu framework Identity của .NET, nó tổ chức phân quyền rất chi tiết, dễ hiểu

Cái cổng này là một cái filter nào đó check quyền trước khi cho truy cập, bên Java là servlet filter. Web lớn thì request phải qua rất nhiều “cổng” trước khi access được resource

5 Likes

if (Không có quyền) { reject and end }
// do action

chỉ có vậy thôi

3 Likes
83% thành viên diễn đàn không hỏi bài tập, còn bạn thì sao?