breeze.jsはどのようにセキュリティを処理し、ビジネスロジックの公開を回避していますか

セキュリティは重大な懸念事項です。クライアントに公開されているデータとロジックについて慎重に検討することをお勧めします。これらの感情をSO回答に適した具体的な質問にどのように洗練させることができますか？

Breezeについては、ビジネスロジックをJavaScriptクライアントに公開する必要はありません。このようなロジックは、リポジトリやコントローラーメソッド内で安全にロックできます（そしてロックする必要があります）。

しかし、クライアントクエリ自体がどのように保護する必要のあるビジネスロジックであるかを理解するのに苦労しています。名前が「A」で始まる顧客のクエリの危険性はどこにありますか？

純資産が$ 100,000を超える顧客へのクエリについて心配するのは当然です。しかし、障害はクエリにはありません。障害は、そのような顧客情報を許可されていないユーザーに公開することです何らかの手段でクエリに追加されたBreezewhere句、またはGetCustomers（）という名前のサービスの呼び出しを介して。

顧客への不正アクセスをブロックする場所はサーバー上にあり、GetCustomer（）メソッドと同じようにIQueryableを返すBreezeコントローラーアクションメソッド内で簡単にブロックできます。どちらの場合も、コントローラーと公開するメソッド内に必要なセキュリティ制約を課す負担がかかります。

コントローラを作成します。リポジトリを作成します。ユーザーの権限にアクセスできます。あなたは、あなたが望むだけ多くまたは少なく露出する妥協のない能力で完全にコントロールできます。

FWIW、BreezeEntityManagerは、IQueryable<Customer>を返さないサービスメソッドを呼び出すことができます。 IEnumerable<Customer> GetCustomers()またはProduct GetProductForId(int id)などのWebApiコントローラーメソッドを呼び出すことができます。私の意見では、セキュリティを確保せずにBreezeのクエリ機能の柔軟性を失うことになります。しかし、それは私の意見です。 Breezeは、それが何であれ、あなたの選択をサポートします。

より具体的な「ハウツー」の質問に答えていただければ幸いです。