Tôi sẽ sớm xây dựng một ứng dụng web, nơi tôi sẽ cần có một mô hình bảo mật để người dùng khác nhau có quyền truy cập vào các phần khác nhau của ứng dụng và/hoặc các bộ dữ liệu khác nhau trong các phần cụ thể đó của ứng dụng. Tôi đang tranh luận giữa hai phương pháp thực hiện bảo mật sau đây:Danh sách trắng, danh sách trắng hoặc bảo mật danh sách đen nào tốt hơn hoặc cả hai?
Danh sách trắng: Theo người dùng mặc định có quyền truy cập và không được cấp quyền truy cập vào những thứ họ cần.
hoặc
Danh sách đen: Bằng cách sử dụng mặc định có quyền truy cập vào tất cả mọi thứ và tiếp cận của họ được lấy ra từ những điều mà họ không cần.
Có phương pháp hay nhất về phương pháp nào được ưa thích hơn không? Nếu có một phương pháp khác sẽ giải quyết tốt hơn vấn đề này, điều đó cũng rất thú vị để biết.
Cảm ơn.