在生产开始或结束时添加授权

您需要提前考虑安全性。即使你没有开发最终的登录屏幕并在开发过程中限制访问，IMO你也应该确保在进行"上帝模式"开发之前，你可以验证你的用户并限制至少一个屏幕上的访问。包括：

• 身份验证-Windows、窗体等
• 授权/访问控制-角色会执行还是需要操作级别检查-例如AzMan
• 如果您将使用SiteMap，则需要查看安全性调整以隐藏用户无法访问的功能（菜单、面包屑等）
• 审计——例如对重要数据的更改

尽管该网站是供内部使用的，但用户是不可信任的，您还需要确保自己不受SQL注入、XSS等攻击。

当然是的，这是一种实用的方法。你说，增加安全性不会给现有项目带来任何问题
事实上，当你要保护网站时，在创建用户之前有很多过程。此外，你不应该完全依赖WAT进行用户管理——我认为，最好有自己的界面，因为你在部署后需要它。

您的方法听起来可能更快，但在以下方面存在架构缺陷：

1-缺少与每页/每方法级别调用的安全对齐。

2-不清楚身份验证/授权方面的用例和工作流程。

3-在逐渐开发和添加新功能的同时，完全缺乏基于安全性的测试。

4-缺乏端到端依赖性-如果需要跨层考虑安全性，您将错过模块化依赖性和端到端测试的整个愿景。

总的来说，如果你先这样做，那么你只需要建立一个示例用户/pwd/角色，并将其用于网站的所有安全区域，这将足以持续测试和开发应用程序。

稍后，当您的应用程序准备就绪时；使用大量的用户/pwd和相关的角色是很好的。

希望这能有所帮助。