Discussion :

[sylvain257]

Bonjour,

Je développe actuellement une application cartographique à laquelle plusieurs clients peuvent se connecter. En gros, une application web tout ce qui a de plus classique.

Evidemment les données d'un ne sont pas les mêmes que les données d'un autre.

Deux solutions se présentent :

- Soit je passe par une API générale qui lit toutes les données d'une seule et même base de données, et les données sont récupérées côté frontend via un filter.
Problème potentiel : Une maladresse sur la base de données générale et tous les clients sont impactés (typiquement un oubli dans la clause where d'une req update ou d'une req delete) => le risque est proche de 100% (même en faisant attention, on n'est jamais à l'abri de ce genre de connerie).

- Soit je décide de mettre les données du client sur des bases de données séparées. Seul problème : comment dire à mon application que pour Mr Dupont, tu te connectes à la bdd 1 et pour Mme Durand à la base 2 ?
Supposant que lors d'une connexion à l'application via une API, on récupère des données tq le nom d'utilisateur, les autorisations, et le nom de la base de données.
Si je veux récupérer les données, je dois passer par une req fetch ou axios, avec une url du genre "monurl.org/nomdemabasededonnees" ce qui peut poser problème au niveau de la sécurité car cela donne trop d'informations à un utilisateur un peu malin. Comment faire pour une connexion dynamique à une base de données ? C'est ici plus un problème de dev frontend que de sécurité.

Quelle est la meilleure solution ?

Merci pour vos retours et vos éclairages

Sylvain

[ABD-Z]

Bonsoir,

Première solution.

La deuxième solution est irréaliste.

[sylvain257]

Pourquoi irréaliste ?

[ABD-Z]

Pourquoi irréaliste ?

D'après ce que j'ai cru comprendre, tu souhaites faire une BDD pour chaque utilisateur ?

[sylvain257]

D'après ce que j'ai cru comprendre, tu souhaites faire une BDD pour chaque utilisateur ?

Il y a deux solutions : soit chaque client a sa base de données et la connexion à la base de données est gérée dynamiquement, soit les données de chaque client sont stockées dans la même base de données, et les données sont filtrées côté front.

Première solution : la question se pose sur le code côté front. J'ai une API d'authentification et à chaque connexion (url du genre https://monapi.com/login), cela redescend les données de l'utilisateur en question, donc potentiellement le nom de la base de données à connecter. La question est ici : comment gérer dynamiquement la connexion aux bases de données, le nom de la base de données étant une donnée issue de l'appel à l'API.

Deuxième solution : si problème sur la base de données, tous les clients sont impactés

[ABD-Z]

Il y a deux solutions : soit chaque client a sa base de données et la connexion à la base de données est gérée dynamiquement, soit les données de chaque client sont stockées dans la même base de données, et les données sont filtrées côté front.

Une base de données par client c'est pas abusé ?


Imagine tu as un million de clients

[Pytet]

Si je veux récupérer les données, je dois passer par une req fetch ou axios, avec une url du genre "monurl.org/nomdemabasededonnees" ce qui peut poser problème au niveau de la sécurité

Je ne comprends pas pourquoi les informations de connexion à la bdd du client devraient redescendre coté client.
Lors d'une authentification, les informations de connexion pourraient être enregistrées dans la session utilisateur coté serveur et ne seraient jamais visibles coté client.

[sylvain257]

@ABD-Z : pour les ORM, on arrive à la limite de mes compétences, mais je vais regarder un peu ce qu'il en ressort. J'ai l'habitude d'automatiser les processes avec FME ou des scripts SH ce qui limite quand même pas mal les erreurs.

@Pytet : Quand un utilisateur s'authentifie, il y a un appel à l'API (selon une url https://monapi.com/login). Si cet appel est en succès, je peux redescendre n'importe quoi comme donnée notamment le nom d'une base de données client. Côté client, les données qui redescendent est la réponse de l'API. Ici il n'y a pas de variables de session, mais des cookies, des variables passées en localstorage ou en sessionstorage....