4D v16
4D Mobileのセキュリティについて
- 4D Mobile
-
- 4D Mobile アーキテクチャー
- ステップバイステップ形式での解説
- 4D データベースの設定
- Wakandaアプリケーション側の設定
- 4Dテーブルとメソッドの呼び出し
- リレーションの使用
- 4D Mobileセッションの管理
- 4D Mobileのセキュリティについて
4D v16
4D Mobileのセキュリティについて
4D Mobileのセキュリティについて
4D データベースのテーブルから4D Mobile を通じて公開されたデータが Wakanda カタログと統合されたあとは、一部のデリケートなリソースに関してはアクセスを制限する必要があります。
4D とは違い、Webアプリケーションではインターフェースを使用して公開されているデータを管理することはできません。例えば、あるフィールドが表示されて いないからといって、それがユーザーからアクセスできないわけではない、ということです。HTTPリクエストとJavaScriptを使用することで、悪 意あるユーザーがプロテクトが不完全な Webサーバーから自由にデータを取得してしまう事態も起こり得ます。
この章では4D Mobileアプリケーションにおいてセキュリティ面で取るべき全ての対策を挙げているわけではないですが、公開しているデータを保護するために最低限必要な情報がまとめられています。
- 4D データベースへの 4D Mobile アクセスの保護: REST経由の4D Mobile 接続のリクエストは保護されている必要があります。以下二つのどちらかを使用しましょう:
- 4D パスワード(4D パスワード使用した自動コントロール を参照のこと)
- On 4D Mobile Authentication database method データベースメソッド
- 4D 側で4D Mobile サーバーへの公開を管理: 4D Mobileサーバーへの公開・非公開はそれぞれのテーブル、属性、そしてメソッドごとに設定することができます。本当に必要なデータとメソッドのみ公開するようにしましょう。例えば、使用していないフィールド等は公開する必要はありません。
- 公開されているデータの保護: ブラウザ経由で公開されているデータに関しては、Wakandaのセキュリティシステムを使って管理して下さい。以下の様にいくつかの手段があります(同時に複数併用することも可能です):
- スコープの調整:Wakandaにて、モデルレベルで4Dデータベースとメソッドの属性のスコープの調整をします(Wakandaのドキュメント内のfor attributes または for methods の scope のプロパティを参照して下さい)。特に、スコープを Public on Server に設定するとサーバーからはコード実行のために自由にアクセスできますが、Webクライアントからはアクセスできなくなります。
この設定は外部モデルの .js 設定ファイル内にて設定する事ができます(外部ファイルの変更を参照して下さい)。 - 計算属性を使用 : 計算属性は標準の属性と同じように使用できますが、その値には特定の関数 (onGet、 onSet 等 ) を通してのみアクセスできます。これはつまり、 4D データベースのフィールドを直接公開せずに必要な計算属性のみを公開するといったことができるということです。 4D フィールドへのアクセスは Wakanda サーバーから安全な方法で実行されます。
計算フィールドは、外部モデルの .js 設定ファイル内に追加する事ができます(外部ファイルの変更 を参照して下さい)。詳細な情報に関してはWakanda ドキュメントの Attributes を参照して下さい。 - 拡張されたdatastore class とrestricting queriesを組み合わせる: この強力な組み合わせを使用すれば、公開されている属性を管理するだけではなく、その属性が表示できるデータまで管理する事ができます。datastore class を拡張する事とは、つまり計算属性を追加したり既存の属性を削除したりすることによって変更可能なコピー(継承されたクラス)を作成するという事です。これに、 restricting query を組み合わせることもできます。この場合、継承されたクラスのデータへのアクセスは全てクエリを起動し、それにより条件に合致したレコードをのみを返しま す。この原理により、データをWakanda Serverに接続しているユーザーと関連付ける事ができます。例えば、売り上げのデータベースにおいて、カレントのセールスパーソンに関連した顧客のみ を返すクエリ、などが考えられます。もちろん、Webクライアントがアクセスできるのは継承されたクラスのみです。
拡張されたdatastore classes と restricting queries は、外部モデルの .js 設定ファイル内に作成・追加することができます(外部ファイルの変更 を参照して下さい)。詳細な情報に関してはWakanda ドキュメントの Programming Restricting Queries を参照して下さい。
注: 4D Mobile にて restricting queries を使用するためには、以下のシステム要件が最低限必要になります:
- 4D、4D Server のv14.1
- Wakanda Enterprise Server v8 - スコープの調整:Wakandaにて、モデルレベルで4Dデータベースとメソッドの属性のスコープの調整をします(Wakandaのドキュメント内のfor attributes または for methods の scope のプロパティを参照して下さい)。特に、スコープを Public on Server に設定するとサーバーからはコード実行のために自由にアクセスできますが、Webクライアントからはアクセスできなくなります。
プロパティ
プロダクト: 4D
テーマ: 4D Mobileのセキュリティについて
履歴
ARTICLE USAGE
4D Mobile ( 4D v16)
© 1985-2018 4D SAS / 4D, Inc. All rights reserved.