Dzizas, chłopaki, ale kombinujecie. Czy w ogole jest wymagany podpis
kryptograficzny? Nie widzialem tu takiego wymagania i nie sądzę że
jest do czegoś potrzebne. W biurowym workflow zwykle wystarczy
informacja o decyzji kierownika zapisana gdzieś w dokumencie lub jego
historii - pokazać kierownikowi okienko decyzji i niech wybierze
odpowiednią opcję. Uwierzytelnieniem tego jest sama aplikacja ktora
zna id zalogowanego użytkownika - firma ufa swojej własnej
autentykacji, czy to domena czy cokolwiek innego. Zakładamy że tylko
kierownik zna swoje hasło do aplikacji i że każdy pracuje na swoim
koncie - ale to chyba normalne?
Po podjęciu decyzji można kierownikowi wysłać potwierdzenie mailem
albo smsem, żeby mógł zweryfikować czy się nie pomylił albo czy ktoś
się pod niego podszył - no i będzie miał ślad gdyby np ktoś zmienił
jego decyzję grzebiąc bezpośrednio w bazie.
Co do dodatkowych zabezpieczeń przed grzebaniem w bazach aplikacji -
pomysł z md5 jest chyba wystarczający, ale wg mnie to i tak za daleko
idące zabezpieczenie. Jeśli ktoś może grzebać w bazie to pwnie może
też np zmienić hasło domenowe i podszyć się pod innego użytkownika tak
że nikt tego nie wykryje. No ale jeśli firma nie ufa swoim adminom to
ma problem kadrowy a nie kryptograficzny.
R