Стоит ли хранить зашифрованные данные пользователя в Local/Session Storage на клиенте?

Question

Денис @Denisido

PHP

Стоит ли хранить зашифрованные данные пользователя в Local/Session Storage на клиенте?

Доброго времени суток!
Задумка:
При входе в систему 1-н раз сделать запрос на права пользователя (его действия с объектами, например, имеет ли пользователь обращаться к определенной таблице или делать вставку, кто он и т.д.). На выходе получаю (пример) следующее результирующее множество в виде многомерного массива:

$arr = [ 
    [
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't1', 
        'ac' => 'SELECT'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы',
        'obj' => 't1', 
        'ac' => 'INSERT' 
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't1', 
        'ac' => 'UPDATE'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't1', 
        'ac' => 'DELETE'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Таблицы', 
        'obj' => 't2', 
        'ac' => 'SELECT'
    ],
    [    
        'r' => 'Администратор',
        'og' => 'Формы', 
        'obj' => 'log', 
        'ac' => 'INSERT'
    )
  ];

Что хочу:
Сгенерировать пригодное для хранения представление массива (сериализовать) и закодировать полученные данные. Далее отправить код хранится в Session Storage.

Для чего:
Тут, скорее, уже ближе подхожу к своему вопросу, который напишу ниже.
Чисто субъективное мнение, чтобы каждый раз не обращаться к БД и не тратить на это время, можно получить зашифрованные данные из хранилища браузера и передать обработчику, который, в свою очередь, рассериализует и раскодирует зашифрованные данные в обратном порядке. А с помощью пользовательской ф-ции, например такой:

function handler(array $arr, ...$par) {
    $flag = false;
    if (is_array($arr)) {
        foreach ($arr as $key => $val) {
          if(is_array($val)) {
            $compare = array_diff($par, array_values($val));
                if (count($compare) < 1) {
                    $flag = true;
                    return $flag;
                }
            }
        }
    }
}

$q = handler($arr, 't1','INSERT', 'Таблицы');
if ($q) {
    echo "Совпадения найдены!";
}
else {
    echo "Совпадения НЕ найдены!";
}

смогу понять, к примеру, может ли пользователь делать записи в таблицу "t1" или нет, какая у него роль и т.п.
Т.е. все эти манипуляции для того, чтобы каждый раз не обращаться к БД.

Теперь САМ ВОПРОС:
1. Стоит ли так делать и почему;
2. Какой будет прирост производительности (разница обращение к файлу обработчика vs стучаться в БД);
3. Как Вы решаете подобные вопросы.

Если я ошибаюсь, подскажите пути решения!

Всем удачи и хорошего настроя на весь день!

Вопрос задан более трёх лет назад
417 просмотров

Комментировать

Подписаться 4 Простой Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 6

9 комментариев

Денис @Denisido Автор вопроса

Во-первых, спасибо за мнение. Да, я полностью с ним согласен.
Во-вторых, *Охренеть (с точки зрения морфемики).
В-третьих, это всего лишь теоретический вопрос, а не практическое применение.

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Денис, Во-первых - пожалуйста.
Во-вторых - это была какография - намеренное искажение слова с целью эмоциональной окраски.
В-третьих - вопросы преждевременной оптимизации уже оптимальных процессов и хранения данных, к модификации которых пользователь не должен иметь доступа на клиенте - это базовые вещи, хорошо что вы задумываетесь и спрашиваете хотя бы перед практической реализацией таких сомнительных практик, немного хуже что пока не умеете проводить самостоятельный анализ, но это уже больше с опытом приходит...

Написано более трёх лет назад
Денис @Denisido Автор вопроса

ThunderCat, с точки зрения SQL, спроектировал структуру и построил запросы таким образом, что многомиллионные записи в таблицах, включая "сложные" запросы обрабатываются и выдаются за максимум 3-и сотых секунды. Проводил ряд эталонных тестирований. Показатели отличные! Дополнительно отмечу, у меня нет проблем с анализом. Как по-Вашему сделать анализ если нет результата? Опыт же приходит на основе проб и ошибок. Вы все делаете правильно?
Вы поймите меня, я никого не хочу обидеть, я ко всем отношусь с уважением, даже если поставить в пример FanatPHP , который "съязвил" (ответил) мне в своем стиле. Кстати, судя по его вопросам, которые никак не связаны с тематикой программирования, он больше интересуется административной частью тостера. По этому поводу ему уже посоветовали начать с себя, но "Наполеон" не может, у него стиль такой и я его отлично понимаю. У меня другой вопрос, откуда у него такой богатый опыт, что он все знает и ничего не спрашивает? А ответов у него много!

Написано более трёх лет назад
FanatPHP @FanatPHP

Денис, всё просто, когда у меня есть вопрос, я иду в гугл а не на тостер :)

Написано более трёх лет назад
Денис @Denisido Автор вопроса

FanatPHP, извиняюсь, что перешел на личности и хочу поблагодарить за ответы, спасибо!

Написано более трёх лет назад
FanatPHP @FanatPHP

Денис, я тоже извиняюсь за тон ответа. Меня иногда заносит ради красного словца

Написано более трёх лет назад
Денис @Denisido Автор вопроса

FanatPHP, польщу Вам. Почитал несколько ответов и сообщений и понял, мне нравится Ваш стиль. Серьезно!

Написано более трёх лет назад
FanatPHP @FanatPHP

Спасибо.
Но все равно мне нужно реагировать спокойнее

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Денис,
Опыт же приходит на основе проб и ошибок. Вы все делаете правильно?
Нет конечно, просто подозреваю что у меня опыта немного больше, по этому с моей точки зрения ваше решение выглядит как плохо проанализированное, с замахом на оптимизацию и так хорошо работающего кода.

Как по-Вашему сделать анализ если нет результата?
Анализ он не всегда на основе результата, иногда просто логически надо подойти. Например подумать, "а как вася будет распоряжаться данными на локальной машине?" Основной принцип разработки в модели взаимодействия с клиентом - клиент всегда хитрая жопа, ищущая как вас... обмануть. И код соответственно пишется исходя из этого подхода.

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- 4 часа назад
- 28 просмотров
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 2 подписчика
- 5 часов назад
- 41 просмотр
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- 5 часов назад
- 70 просмотров
0

ответов
PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- вчера
- 93 просмотра
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- вчера
- 133 просмотра
2

ответа
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- вчера
- 203 просмотра
3

ответа
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 22 апр.
- 142 просмотра
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- 22 апр.
- 90 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 71 просмотр
0

ответов
PHP

+1 ещё

Средний
Как отладить плавающий баг проверки капчи?
- 1 подписчик
- 22 апр.
- 67 просмотров
1

ответ
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Верстка сайт - визитка

24 апр. 2024, в 20:57

3000 руб./за проект

Разработка стратегий продвижения в соц сетях FB

24 апр. 2024, в 20:50

10000 руб./за проект

Правка в веб приложение

24 апр. 2024, в 20:35

5000 руб./за проект

Answer 1 · 2019-11-27 15:35:29

Это просто идеальная иллюстрация к известному высказыванию Дональда Кнута "Преждевременная оптимизация - корень всех зол".

Сначала высасываем из пальца проблему: "тратится время на обращение к бд". Сколько там его тратится, тратится ли вообще, замедляет ли это систему, является ли вообще это проблемой - все эти вопросы нам неинтересны. Мы хотим грудью на амбразуру, стать героем и получить медальку.

После этого начинаем проблему решать.
Значит, чтобы сэкономить время на запросе к базе, которая обычно лежит локально и обычное обращение занимает микросекуны, мы решаем закэшировать данные на клиенте. Который может быть в тысяче километров, а пинг в сотни миллисекунд - не редкость. И вот мы решаем что клиент будет с каждым запросом отправлять массив данных. Причем таких данных, которые на сервере и так. есть. Гениально!

Стоит ли так делать и почему;
не стоит потому что не надо высасывать проблемы из пальца.
Какой будет прирост производительности
Отрицательный
Как Вы решаете подобные вопросы.
МЫ ИХ НЕ РЕШАЕМ.
Мы решаем реальные проблемы, объективно существующие.
А воображаемые проблемы высосанные из пальца решать не следует.

Answer 2 · 2019-11-27 22:40:11

Ахренеть, то есть если я, допустим, пользователя понизил в правах, то по вашей логике я должен лично к нему домой причапать и почистить куки/сторэйдж. Это гениальное решение, решающее несуществующую проблему! Браво!

Answer 3 · 2019-11-27 15:01:19

Ни в коем случае.
Храните в серверном кеше для данной сессии или в самой сессии.

Почему? Небезопасно доступы хранить у клиента!

Answer 4 · 2019-11-27 15:04:25

1. Не стоит так делать. Потому что все что приходит от клиента, должно проверяться.
2. Как следствие, производительность упадет.
3. Храню сессиях.

Answer 5 · 2019-11-27 15:08:46

1. Стоит ли так делать и почему;

Нет. Проверка прав должна выполняться на сервере и не зависеть от внешних систем, к которым нет доверия (это я про фронт). Фактически вы контроль доступа хотите передать другой стороне.

2. Какой будет прирост производительности

Прирост то будет, но меньше, чем вы надеетесь. Но не делайте так, еще раз.

3. Как Вы решаете подобные вопросы.

Один раз разобрался с https://symfony.com/doc/current/security.html и пользуюсь.

Answer 6 · 2019-11-27 20:21:12

Если вы раскодируете и что-то проверяете на клиенте - то и кодировать не надо. Это можно использовать только для улучшение UX - например показать пользователю сразу доступные ему пункты в меню.

Если вы раскодируете и проверяете права на сервере, чтобы не лезть в БД, так делать можно, хороший пример - JWT, так же можно много чего попроще придумать.
Можно не значит нужно - выше вам правильно сказали, чтобы оптимизировать запросы к БД надо сначала начать страдать от медленных запросов к БД.

Answer 7 · 2019-11-27 16:04:23

Вот основные причины.
https://habr.com/ru/post/349164/
https://habr.com/ru/post/143259/

В общем храните в сторадже некритичную информацию, даже можете хранить роль в системе, если ваш фронтэнд предполагает разное поведение для разных ролей, но единственное чему можно доверять это идентификатор сессии в паре с ip. Все остальное доставайте на сервере. Если будет проседать, то поставьте redis для кэширования

Стоит ли хранить зашифрованные данные пользователя в Local/Session Storage на клиенте?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт