Czy korzystanie z błędów uwierzytelniania/autoryzacji jest dobrą praktyką przy użyciu wyjątków?

Question

Jeśli aplikacja wykryła, że ​​użytkownik nie jest uwierzytelniony/autoryzowany do zrobienia czegoś, Czy to nieoczekiwane?

try { 
    if (notAuth()) 
     throw new UnAuthException(); 
} catch (UnAuthException e) { 
    Log . error(e); 
    return false; 
} 

jeśli oczekuje się sprawa, więc dlaczego istnieje tak wiele ram mają własne UnAuthException przypadku niepowodzenia autoryzacji nie jest wyjątkiem?

Answer 1

Zależy od zakresu.

W logiki biznesowej warstwy „użytkownik nie jest uprawniony uwierzytelniony /” sytuacja jest wyjątkowa i powinna prowadzić do wyjątku czasu wykonywania, na przykład (kod Java):

public String salutation(User user) { 
    // may lead to a runtime exception if user is not authorized 
    return String.format("Hello, %s!", user.getName()); 
} 

Realizacja User (to interfejs , oczywiście) albo zwróci nazwę użytkownika, albo wyśle ​​NonAuthenticatedException w getName().

W kontrola dostępu warstwa Status autoryzacji użytkownika/Uwierzytelnianie jest przetwarzane jak innych normalnych stanów, i nie powinien być traktowany jako wyjątkowej sytuacji, np:

if (!user.isAuthenticated()) { 
    httpResponse.addHeader("WWW-Authenticate", "Basic realm=\"secure content\""); 
} 

Answer 2

Tak, jest to dobra praktyka, aby obsługiwać uwierzytelniania \ zezwoleń poprzez wyjątki, ponieważ:

1) Wyjątkiem jest nienormalna sytuacja, że ​​system nie podoba, a co za tym idzie przez obsługę wyjątków jesteśmy reakcji tej sytuacji . Uwierzytelnianie i wyjątki autoryzacji są w zasadzie naruszeniami bezpieczeństwa, tj. Anomaliami systemu i dobrą praktyką jest reagowanie na naruszenia. Schemat obsługi wyjątków to popularny mechanizm zgłaszania nieprawidłowości \ anomalii systemu, dlatego też używamy tego systemu do reagowania na takie sytuacje.

Dlatego wszystkie popularne frameworki (w tym .NET) mają Auth. klasy wyjątków do enkapsulacji błędów .