Lieber Tom,

Ich würde es anders herum ausdrücken. Die Policies bereits auf Serverebene festzulegen, ist der Versuch, die Verwaltung für alle Ressourcen zentral zu halten und nicht in die Anwendungen eingreifen zu müssen.

Auf jeden Fall sollten eigene Zugriffsschutzverfahren von Anwendungen bei Fehlversuchen auch immer eine Errormeldung im Serverlog hinterlassen, damit z.B. fail2ban und ähnliche Werkzeuge auch weiter greifen können. Anderenfalls spricht man (ich zumindest) von "spreaded control". Das ist für die Administration durchaus lästig, wenn man immer mehrere Errorlogs (sofern überhaupt vorhanden) im Auge behalten muss.

Ein "Loginsystem" besteht also mindestens aus

• Benutzerverwaltung (mMn mit Klarnamen- und Anschriftserfassung)
• Geschäftsregeln für den Zugriffsschutz
• Authentifizierungssystem
• Zugriffskontrolle (Authorisiering)
• Ggf. Formular- und Workflowverwaltung
• Historie
• Errorlogging (fehlgeschlagene Angriffs- und Zugriffsversuche)
• umfangreicher Datenschutzbelehrung lt. DSGVO zu Obigem

Na, das ist doch schon mal ein Anfang für deinen Artikel. Wolltest Du doch schon letztes Jahr schreiben, oder? :-P

Spirituelle Grüße
Dein Robert