web-dev-qa-db-ja.com

いつ認証と承認を実装するのですか?

現在、セキュリティ対策を実施する時期を決めなければならない状況にあります。したがって、質問は簡単です。最初のリリースの前に、プロジェクトの最初にOR=プロジェクトの最後に、承認と認証の方法をすぐに実装する方が良いでしょうか?

私が検討したこと:最後に、APIにかなりの変更を加えます。最初にクライアントが最初の結果をすぐに見たい場合は、時間がかかります。

3
Andajus

このこともクライアントに知らせる必要があります。クライアントに2つのオプションを提供できます。最初のクライアントは初期段階でA&Aを表示し、もう1つは後期段階でA&Aを表示します。これは、クライアントにヘッドアップを提供し、それらをループに保つようなものです。

同様に重要なクライアントのニーズに応じて、クライアントが迅速な結果を望んでおり、セキュリティの実装が「今」であることが要因ではない場合、2番目のオプションを選択します。

私はプロジェクトのstartでA&Aを実装することを強くお勧めしますしたがって、それ以降にプッシュする他のすべての変更と更新は実装されているA&Aに関しては、一時的な問題や将来のエラーのポップアップを防止してください。お役に立てれば。

3
mallocation

私は認証と承認の両方が要件であることを想定しています。もしわからない場合は、それをリスクとして上げ、大幅な書き換えが発生する可能性があることを明確にする必要があります。

認証と承認をアプリケーションにすぐに組み込む必要がないという要件があるとすると、多くのプロトタイプは外部からアクセスできないため、セキュリティがまったくありません。アプリケーションが本番環境に入る前に、セキュリティ要件を満たしておく必要があります。そうしないと、違反の危険があります。

コードの提供を開始する前に、セキュリティモデルを用意し、コードでセキュリティを提供する方法を理解しておく必要があります。そうしないと、後で全体を書き直す必要がある場合があります。役割に基づいて情報をどのようにフィルタリングしますか?役割を知っていますか。また、どのようなアクセス制限を設定する必要がありますか?セキュリティモデルの実装に必要なすべてのデータを収集していますか?行フィルタリング、または列レベルのフィルタリングも必要ですか?データベースまたはバケットはユーザーによって直接アクセスされますか、それともアプリケーションコードに制限が実装されますか?あなたが知らない場合、私のアドバイスはあなたがやるまでやめることです。

クライアントはそれが望むようにnowのように今に住んでおり、なぜそれを配信できないのか理解できませんnow。それを正しく行うために何が必要かを彼らに伝え、彼らがそれを急ぐことのリスクを理解していることを確認し、リスクを取る彼らの仕事はあなたの仕事です。すべて書面で入手し、後で戻ってくることがないようにしてください。

1
GdD

おそらく私はあなたのクライアントとは異なる視点から来ていますが、ソフトウェアを委託するとき(特に段階的な支払いに関して)、請負業者が私のプロジェクトに取り組み、満足のいく品質の製品を提供していることを確信したいと思います。請負業者が認証と承認を早い段階で表示できると嬉しいです。セキュリティに関して非常に明確に定義された要件があります。したがって、これを早い段階で確認して適切に評価することで、今後何が期待できるかについて多くの洞察を得ることができます。

OTOH私は、作業が始まる前に、実証可能なコンポーネントをいつ期待するかについてのタイムテーブルを期待します。これが当てはまらないということは、クライアントのガバナンスと技術的スキルについて私に懸念を与えます。また、認証コンポーネントの大部分はボイラープレートコードであるため、配信に時間がかかりません。つまり、すでに穴に入っている可能性があります。

クライアントに相談してください。

1
symcbean