Muster postvollmacht

| 0

Welches Muster sollten Sie also beim Entwerfen Ihres Autorisierungsmodells wählen? Natürlich hängt dies vom Anwendungstyp, den Anwendungsfällen und der Funktionalität sowie davon ab, wie die Anwendung in Bezug auf die Anzahl der Objekte, Routen und Entwickler skaliert werden soll. Komplexere Anwendungen sind mit den zentralisierten oder objektbasierten Mustern in der Regel besser geeignet. Für einfachere Anwendungen können routenbasierte oder Ad-hoc-Muster akzeptabel sein – komplexere Autorisierungssysteme bedeuten mehr Entwicklungs- und Wartungsarbeiten. Dieses Muster kann in einigen Szenarien funktionieren, aber viele Anwendungen werden mit schwerwiegenden Problemen auflaufen. Erstens gibt es fast immer Anwendungsfälle, in denen Sie mehr Kontext benötigen, um die Entscheidung über die Autorisierung zu informieren. Wenn Sie überprüfen möchten, ob ein Benutzer Zugriff auf ein bestimmtes Objekt hat, müssen Sie es in der Routenlogik implementieren und das gleiche Ad-hoc-Muster wie oben erstellen. Diese kontextuelle Logik könnte in Middleware implementiert werden, aber das verschiebt das Problem oft nur an einen anderen Ort. Das Verfahrensberatungsdokument der EMA nach der Zulassung bietet einen druckbaren Überblick im Q&A-Format über die Position der EMA zu Fragen, die typischerweise bei Inhabern von Genehmigungen für das Inverkehrbringen behandelt werden. Die Europäische Arzneimittel-Agentur (EMA) bietet Pharmaunternehmen, deren Arzneimittel in Europa zugelassen wurden, wissenschaftliche und regulatorische Leitlinien an. Dies wird als Phase nach der Autorisierung des Produktlebenszyklus bezeichnet.

Dieses Muster ist meiner Erfahrung nach im Allgemeinen viel effektiver als ein Ad-hoc- oder routenbasiertes Muster. Der Vorteil eines zentralisierten Musters ist, dass es extrem einfach zu überwachen ist: Die gesamte Autorisierungslogik befindet sich an einem einzigen Ort, und Routenlogik kann der unsichere Zugriff auf Objekte verboten werden. Mit diesem Muster können Entwickler mit dem Wissen codieren, dass ihre eigene Logik keine Autorisierungsprüfungen umgeht, solange sie sichere APIs verwenden. Überprüfungen auf unsicheren Zugriff können auch als Teil der Codeüberprüfung oder in kontinuierlichen Integrationspipelines implementiert werden. Unter den vielen Anwendungen, die ich überprüft habe, gibt es in der Regel vier Codemuster, die die meisten Anwendungen zum Implementieren der Autorisierung verwenden. Jedes Codemuster kann in der richtigen Situation funktionieren, aber das Auswählen des falschen Codemusters führt im Allgemeinen entweder zu Sicherheitsanfälligkeiten oder verhindert, dass die Autorisierungslogik für die Anwendungsfälle der Anwendung gut funktioniert. Das zentralisierte Muster implementiert die Autorisierung an einem einzelnen Speicherort, der Berechtigungen für Objekte definiert, die auf Rollen und Kontext basieren. Die Regeln können in einer Konfigurationsdatei oder in einer codebasierten Logik definiert werden. Alle Routenlogik ruft die zentralisierten APIs auf, wenn sie auf ein Objekt zugreifen (erstellen, lesen, aktualisieren, löschen) möchte.

Daher gibt es keine Möglichkeit, die zentralisierte Autorisierungslogik versehentlich zu umgehen. Der Begriff Nachzulassungsstudie (PAS) ist nicht ausschließlich für beobachtungsforschung und kann interventionelle Studiendesigns umfassen (siehe z. B. Definition der Sicherheitsstudie nach der Zulassung in GVP VIII), dies sollte klargestellt werden, da sich die Einleitung auf historische „Kritik“ bezieht, die hauptsächlich im Zusammenhang mit nicht-interventionellen Forschungen geäußert wird. Die meisten Studien im PAS-Register der EU sind nicht interventional, aber auch einige RCTs fallen unter die Aufnahmekriterien, die von den Autoren für ihre beschreibende Studie angewandt werden. Im Laufe von etwa 5 Jahren bei der NCC Group würde ich schätzen, dass ich an mehr als 50 von Quellcode unterstützten Webanwendungsbewertungen gearbeitet habe. Ein wichtiger Einnahmepreis, den ich hatte, ist, dass die Sicherheit großer Anwendungen eine Reflektion der Codierungsmuster ist, die in der internen Codebasis verwendet werden. Wenn intern gefährliche (Code-)APIs verfügbar sind, werden Sicherheitsprobleme extern angezeigt, wenn diese APIs ohne Sicherheitsüberprüfungen verwendet werden. Der Nachteil dieses Musters ist, dass es schwierig wird, zu skalieren, wenn die Anzahl der Objekte und Entwickler zunimmt. Die Logik der einzelnen Autorisierungsmethode wächst im Allgemeinen linear mit der Anzahl der Objekte.