hi,

Der Modulname ist gleichzeitig der Dateiname der Datei, die die Klasse enthält.

Ok, trotzdem hat eine solche Information nichts im URL zu suchen, weil das an dieser Stelle manipulierbar ist. Auch sog. Pseudoklassen, was ich in anderen Frameworks gesehen habe, machen diese Angelegenheit nicht besser.

Wenn das Modul existiert, wird vorher erstmal geprüft ob der User das Modul überhaupt aufrufen darf.

Das ist unnötig kompliziert. Die Entwicklung von Anwendungen erweist sich als effizienter, wenn Zugangsberechtigungen komplett aus dem Code raus sind, wie das funktioniert habe ich auf meiner umfangreichen FW-Dokumentation beschrieben, kurzum: Je nach Anmeldung wird eine der Benutzergruppe zugewiesene RoutingTable geladen (Content-Negotiation).

Keine Anmeldung, keine Schokolade, http://example.com/cacao.html, Status: 404 Not Found

Dem Locator wird intern eine Klasse zugewiesen, die von außen nicht veränderbar ist, fertig. Ein angemeldeter Benutzer sieht auf der Domain eine komplett andere Website, als ein normaler Besucher.

Die Prüfung, ob ein Anwender die Klasse benutzen darf, entfällt, weil es eine Zuordnung von URLs zur Anwendergruppe gibt, wobei die jeweiligen Klassen per Konfiguration an die URLs gebunden sind.

Also nix Sicherheitsloch. ;)

Zweifelhaft, dass solche Konstrukte sicherheitsrelevant überschaubar sind und es ist meine über 10jährige Erfahrung im Programmieren von Webanwendungen, die mir das Recht geben, ein solches Statement hier abzuliefern. Wenn ACL-Issues aus dem Code raus sind, gibt es hier auch kein Fehlerpotential.

Schöne Grüße!