Quản lý xác nhận phía máy khách và phía máy chủ ở một nơi

Tôi 100% trên tàu với trường hợp một người chắc chắn nên sử dụng cả xác thực dữ liệu phía máy khách và phía máy chủ.

Tuy nhiên, trong các khuôn khổ và môi trường tôi đã làm việc, các phương pháp tôi đã thấy chưa bao giờ là KHÔ. Hầu hết thời gian không có kế hoạch hoặc mẫu - các xác nhận được viết trong thông số mô hình và các xác nhận được viết theo mẫu trên dạng xem. (Lưu ý: Hầu hết trải nghiệm đầu tay của tôi là với Rails, Sinatra và PHP w / jQuery)

Thay đổi nó, có vẻ như sẽ không khó để tạo ra một trình tạo, với một bộ xác nhận hợp lệ (ví dụ như tên mô hình, trường, điều kiện), có thể tạo ra cả vật liệu phía máy khách và phía máy chủ cần thiết. Cách khác, một công cụ như vậy có thể lấy các xác nhận phía máy chủ (chẳng hạn như validatesmã trong mô hình ActiveRecord) và tạo các xác thực phía máy khách (như các plugin jQuery, sau đó sẽ được áp dụng cho biểu mẫu.

Rõ ràng, ở trên chỉ là một "hey tôi đã có ý tưởng này", và không phải là một đề xuất chính thức. Điều này chắc chắn là khó khăn hơn nó tưởng khi ý tưởng tấn công tôi.

Điều đó mang lại cho tôi câu hỏi: Làm thế nào bạn sẽ tiếp cận việc thiết kế một kỹ thuật "viết một lần, chạy trên máy chủ và máy khách" để xác thực dữ liệu?

Chủ đề phụ liên quan: Các công cụ như thế có tồn tại cho bất kỳ khuôn khổ cụ thể hoặc công nghệ máy chủ-máy khách nào không? Các vấn đề hay thách thức chính với việc cố gắng duy trì chỉ một bộ xác nhận là gì?

Theo kinh nghiệm hạn chế của tôi, các điểm yêu cầu xác nhận là

1. Cấp độ trình bày bằng HTML,
2. ở cấp độ sau khi trình bày (nghĩa là xác thực Javascript),
3. ở cấp độ kết hợp nơi các tương tác giữa nhiều trường phải được xác nhận cùng nhau,
4. ở cấp độ logic kinh doanh và
5. ở cấp cơ sở dữ liệu.

Mỗi người trong số họ có ngôn ngữ, thời gian và kích hoạt khác nhau. Chẳng hạn, việc xác thực một trường trước khi toàn bộ bản ghi ở trạng thái nhất quán sẽ không có ý nghĩa gì, trừ khi bạn muốn xác thực chỉ một phần. Các ràng buộc ở cấp cơ sở dữ liệu chỉ được áp dụng ở cuối trước khi cam kết và không thể thực hiện một cách khôn ngoan.

Một khái niệm liên quan là đại diện cho dữ liệu khác nhau giữa mỗi cấp độ. Một ví dụ đơn giản là một trình duyệt web đại diện cho một đoạn văn bản, có lẽ là CP1290, trong khi cơ sở dữ liệu đại diện cho nó trong UTF-8; độ dài của hai chuỗi khác nhau nên việc thực thi các ràng buộc về độ dài trở nên khó xử.

Một xem xét thường giới hạn các giải pháp là chuyến đi khứ hồi mạng. Máy khách có nhiệm vụ xác thực dữ liệu người dùng mà không gửi tin nhắn qua mạng. Nói cách khác, khi người dùng nhấn nút gửi, khách hàng có nghĩa vụ xác thực dữ liệu cục bộ.

Đầu tiên, hãy giả sử rằng chúng ta không có giới hạn này. Chúng tôi có thể liên lạc với một điểm cuối mạng rất tốt trong việc xác định các vấn đề xác nhận. Ví dụ: khi bạn gửi bản ghi Người dùng mới của mình cho nó, thay vì phản hồi bằng mã lỗi HTTP vanilla, nó có thể trả về một phản hồi JSON chi tiết ghi rõ các vấn đề và khách hàng sẽ cập nhật thông minh màn hình để phản ánh các vấn đề mà nó gặp phải. Điểm cuối đóng vai trò của một cổng xác nhận.

Đó là DRY nhưng không phải không có nhược điểm. Đầu tiên, nó phụ thuộc vào việc làm tròn thuế mạng máy chủ của chúng tôi với các xác nhận có thể đã được xử lý phía máy khách. Thứ hai, thiết kế dự đoán rằng tất cả các hoạt động CRUD sẽ xảy ra thông qua các điểm cuối của chúng tôi, nhưng còn khi các nhà phát triển và quy trình bỏ qua lớp truy cập dữ liệu của chúng tôi bằng cách truy cập trực tiếp vào cơ sở dữ liệu thì sao?

Hãy xem xét lại giải pháp của chúng tôi để khắc phục những nhược điểm này. Thay vào đó, hãy lưu trữ và truyền đạt các xác nhận của chúng tôi dưới dạng siêu dữ liệu:

{field: 'username', type: 'required'}
{field: 'username', type: 'unique'} //requires a network roundtrip
{field: 'password', type: 'length', min: 10, max: 50}
{field: 'password', type: 'contains', characters: ['upper', 'special', 'letter', 'number']}

Cả máy khách và máy chủ sẽ có một số cơ chế (ví dụ: một công cụ) để diễn giải và áp dụng dữ liệu này. (Một số người gọi đây là đơn nguyên miễn phí vì nó tách phần khai báo khỏi trình thông dịch của nó.) Trong JavaScript, chúng ta có thể ánh xạ từng phần thông tin vào các chức năng làm việc. Để khởi động, chúng tôi có thể dạy bất kỳ lớp nào trong kiến ​​trúc của chúng tôi, bao gồm cả cơ sở dữ liệu của chúng tôi, để thực thi các xác nhận một cách nhất quán.

Một cách sẽ là sử dụng cùng một ngôn ngữ / khung trên cả phía máy chủ và máy khách.

Ví dụ

Node.js :: Máy khách / Máy chủ trong JavaScript GET :: Máy khách / Máy chủ trong Java

Trong trường hợp này, hầu hết mã "Đối tượng miền" sẽ phổ biến, bao gồm xác nhận. Framework sẽ gọi mã theo yêu cầu. Ví dụ: Mã tương tự sẽ được gọi trong trình duyệt trước khi "gửi" và trên dịch vụ web phía máy chủ.

EDIT (Tháng 6/2014): Với Java 8, giờ đây cũng dễ dàng tích hợp mã xác thực JS trong Ứng dụng Java. Java 8 có một công cụ thực thi JS mới thường xuyên hơn (Ví dụ: nó sử dụng invokeDocate).

Tôi chỉ nghĩ về cùng một vấn đề. Tôi đã nghĩ đến việc sử dụng ANTLR để có được một cây cú pháp trừu tượng trong cả C # và javascript. Từ đó bạn sử dụng các máy đi bộ trên cây để áp dụng các hành động được chỉ định trong ngôn ngữ cho các đối tượng được xác nhận.

Vì vậy, sau đó bạn có thể lưu trữ một mô tả về xác nhận bắt buộc bất cứ nơi nào bạn muốn - có thể trong cơ sở dữ liệu.

Đây là cách tôi sẽ tiếp cận vấn đề.