MVC 多用户身份验证/安全

Question

我一直在为一家公司开发一个 Web 应用程序，帮助他们报价、管理库存和运行作业。我们相信该应用程序将对行业中的其他公司有用，但我不想推出该应用程序的单独实例，因此我们将其设为多用户（或多公司可能是一个更好的术语，因为每个公司都有多个用户）。

它是在 Codeigniter 中构建的（希望我在 Rails 中完成了它，但现在已经太晚了），并且我尝试遵循瘦控制器胖模型方法。我只是想确保我正确地完成了授权方面的工作。当用户登录时，我会将 companyID 和 userID 一起存储在会话中。我认为用户界面的每个表都应该有一个额外的companyID字段（通过关系间接访问的表可能也不需要存储companyID，请告诉我我是否错了）。检索数据似乎非常简单，只需在 AR 中添加一个附加 where 子句即可将公司 ID 添加到选择中，例如 $this->db->where('companyID', $companyID) 。我对此没问题。

然而，我想知道的是如何确保用户只能修改自己公司内的数据（如果他们使用 firebug 或类似工具向随机 quoteID 发送删除请求）。我想到的一种方法是将上面相同的 where 子句添加到模型中的每个更新和删除方法中。这在技术上是可行的，但我只是想知道这是否是正确的方法，或者是否有人有任何其他想法。

另一种选择是检查用户的公司在修改之前是否拥有该记录，但这似乎是数据库请求的双重处理，而且我真的不知道这样做是否有任何好处。

我很惊讶我找不到这个问题的答案，我一定是在寻找错误的术语：p。但我将不胜感激有关此主题的任何答案。

预先感谢，

克里斯蒂安

Answer 1

我想说你正在以正确的方式处理这件事。将所有项目保留在同一个表中将允许您运行全局统计数据以及本地化统计数据 - 所以我认为这是更好的方法。

我还想说，最好将您提到的 where 子句添加到每个查询中（无论是 get、update、删除 但是，我不确定您是否想要手动执行所有查询，我建议您覆盖模型中的这些方法以添加相关的 where<。这样，当你调用时。 $this->model->get()，您将自动获取添加到查询中的 where->($companyID, $userID) 子句。

Answer 2

从表面上看，这可能是一个更多 API 类型的系统（否则这只是一个普通的用户身份验证系统）。

简单身份验证
无论如何，我认为 API 的最佳选择是有两个表，companies 和 users
companies 表中有一个 companyID 和 password。 users 表中将每个用户链接到一个公司。

然后，当用户发出请求时，让他们在每个请求中发送companyID 和password。

oauth
下一个选项实施起来稍微困难一些，意味着另一端也必须设置 Oauth 身份验证，即 oauth。

但是，在我看来，总体来说使用起来更好，而且更安全。

Answer 3

一种方法是使用表前缀。但是，如果您已经有很多表，复制它们显然会迅速增加数据库的大小。如果您没有很多表，这应该可以扩展。您可以根据用户凭据设置前缀。请参阅本页的前缀部分： http://codeigniter.com/user_guide/database/queries.html 了解有关与他们合作的更多信息。

另一种选择是不推出应用程序的单独实例，而是使用单独的数据库。这是 CI 论坛上讨论多个数据库的帖子： http://codeigniter.com/forums/viewthread/145901 / 在这里，您再次可以根据用户凭据选择正确的数据库。

我看到的唯一其他选项是您提出的选项，其中您向指定所有权的数据添加标识符。这应该可行，但看起来有点可怕。