推 MacPerson:其實可以對config做加密,PG可以不用知道帳密是什麼, 04/09 23:09
→ MacPerson:只要連得上去就行了 04/09 23:09
可以請前輩說詳細一點嗎?有點不太能理解。對Config加密,那麼DB要如何解密?
→ m339606:之前做App的做法是由程式直接向Server要連線字串 04/09 23:42
→ m339606:App內沒有存任何連線字串,只有存Server的位置 04/09 23:43
→ m339606:所以改連線字串直接在Server改就好了 04/09 23:43
→ m339606:至於Server要如何核實Client就自己想像囉 04/09 23:44
→ m339606:等於就Runtime才取得連線字串囉 04/09 23:48
這個做法雖然有辦法達到"更改密碼"的目的,但是,假設今天是部門人員調離開發部門
那該位員工是否也可以自行開發程式向Server取得連線字串?
無法防範"調離單位員工無法存取DB"的目的,感謝前輩提供意見。
※ 編輯: don750421 (36.237.103.244), 04/09/2014 23:58:10
→ Litfal:所以DB層和前端要分開,中間透過WebService提供服務。 04/10 00:06
→ Litfal:APP端使用帳號登入WebService來取得服務,而不是自己連。 04/10 00:08
→ Litfal: DB 04/10 00:08
→ Litfal:改連線帳密就只是WebService和DB之間的事而已。 04/10 00:10
→ Litfal:如果離職的人只接觸到前端,那關閉他的帳號,問題更小。 04/10 00:10
→ m339606:要讓已經離職的員工無法存取DB最直接也是最簡單的方式就 04/10 14:00
→ m339606:DB直接限制連線網域,將外網完全封死 04/10 14:00
→ m339606:我App就是使用WebService與帳號密碼來存取連線字串 04/10 14:00
→ m339606:但是這方法只是將問題點從DB帳號密碼改到WebService而已 04/10 14:01
→ m339606:我推薦使用自製協定加上SSL與Client指紋碼來驗證 04/10 14:02
→ m339606:說實在你要擋住開發人員就綁網域、限制Client最直接而已 04/10 14:03
→ m339606:不然就只是無限的把帳號密碼的問題丟到另外一個帳號密碼上 04/10 14:04
→ m339606:弄個硬體防火牆來設白名單吧! 04/10 14:15
→ StupidGaGa:你的需求跟情況可以再說明詳細點嗎? 04/15 14:29
→ StupidGaGa:是員工離職=>修改DB帳密,還是員工離職,不能存取DB? 04/15 14:32
→ StupidGaGa:根據你的需求跟情況,解法有很多種… 04/15 14:33