KEP-Betrieb

Autorisierung

Zurück zur Übersicht

Alle Anfragen, welche der Benutzer an die Anwendung richtet, werden autorisiert. D.h. es wird anhand des Benutzerprofils und der angewählten Ressource entschieden, ob der Benutzer berechtigt ist. Der Zugriff wird in einer Datenbanktabelle, dem AccessLog, protokolliert. Falls der Benutzer dennoch auf eine Funktion zugreift, für die er nicht berechtigt ist, wird ihm die Ausführung verweigert. Ist der Benutzer für die Funktion berechtigt und er greift auf schützenswerte Daten zu, werden diese gemäss seinen Berechtigungen gefiltert. Bei Suchfunktionen, welche schützenswerte Daten betreffen, werden bereits die Suchparameter daraufhin geprüft, ob der Benutzer dafür berechtigt ist. So wird verhindert, dass er aus dem Suchergebnis Rückschlüsse auf für ihn gesperrte Attribute ziehen kann.  

Zurück zur Übersicht