Я вам не Димон.Я отвечаю за разработку БД. Веб-сервер общается с БД только посредством функций.


В такой ситуации только мозно зад на клочья изорвать, но адекватную безопасность тут не сделать.

ViPRosЯ вам не Димон.,



ЭТО ПОЛНЫЙ ТРЕШ, я не позавидую пользователям вот таких систем безопасности. Сидеть и как дятел галочки натыкивать, от оно результат гения мысли

tip78добавить/удалить/изменять продукцию - у каждого действия своё разрешение
ну так то выглядит логично, просто непривычно много всего, что вполне допустимо в большой системе

Угу. Логично. Только для однобитного бизнеса, не совместимого с нашими реалиями.

Как на этих смешных галочках можно реализовать следующее:

1. Группа учёта определённой подсистемы может вносить изменения только в последние 3 дня месяца, до этого только ридонили, на уровне безопасности.
2. Выдать права на определённые действия (любые на выбор), на определённый срок определённым людям, при чём любые изменения должны идти с маркером выданных разрешений (кто, когда, и на каком основании разрешил).
3. Возможность делегировать полномочия старших сотрудников младшим сотрудникам на определённые действия, на определённый срок.
4. Одноразовые и N-разовые разрешения.
5. Возможность замещения (ушёл в отпуск, заместители получили права).
6. Определённые действия могут быть совершены только после других действий.

+ дофига подобных правил, порой совершенно не логичных с точки зрения здорового человека.

И это всё именно безопасность, оно должно управляться в одном месте, это подвергается аудиту, строятся отчёты, что когда кому можно было, почему, кто разрешил в такие-то дни. Строятся отчёты по срезам объектов и действиям, выясняется почему такое-то действие было выполнено, на каком основании.

Как подобное на этих галочках решать, от вида которых уже становится плохо, понятия не имею. Да и зачем делать это ТАК сложно.

tip78ну да, типа для ваших пунктов есть простой способ ))

ABAC

hVostttip78ну да, типа для ваших пунктов есть простой способ ))

ABAC

Точнее так, в реализации он конечно сложнее вот этого примитивного трешака с галочками, при чём существенно. Но в результате колоссальный профит. Как по гибкости, по контролю, прозрачности, так и по удобству. Но сделать и прикрутить полноценный ABAC довольно сложно, поэтому и не популярно. Поддержки в виде готовых библиотек, толстых разношёрстных мануалов и прочего привычного стаффа вы не найдёте. Нужно поработать головой.

ViPRos2. Настройка галочками

Ну и много ты настроишь с системе галочками, где больше 1000 различных типов и до сотни тысяч атрибутов? Я конечно понимаю, на паре другой десятке ещё куда ни шло, матрица получается не такая зверская, но ты посчитай, там тупо пронажимать всё как надо, лучше просто убиться об стену.


ViPRos3. Настройка правил (код любой сложности в заданном контексте)

Код логики где-то там. В одном единственном месте можно ВСЕ правила описывать? Вот где ты галочки свои расставляешь?

А то так-то можно и код в обработчиках кнопок называть «правилами безопасности», да? ))


ViPRos4. Клонирование с перенастройкой

Укрощение галочек? ))


ViPRosПрава действуют с по

В конкретные дни могут действовать? При конкретных условиях? Периодически?


ViPRosАБАС полный улет фантазии и потеря контекста

У нас в полный рост. И да, я могу сравнить, так как предыдущую систему делали вот 100% как у тебя, на матрицах галочек, и заипались все, и разрабы и аналитики, и аудиторы.

ViPRosРоли можно импорт/экспорт, сливать несколько ролей и т.д.
Да воще моя фигня, куда надо туда и разовю :)

А чё-т ещё кроме ролей есть? Роли можно параметризовать? Как пересечь правила, роли, принадлежность пользователя отделам, и его какой-нибудь показатель (например, КПУ)? И по этим пересечениям разрешать безопасность? Опять же, всё в одном месте должно быть.

tip78на самом деле, прописывать разрешения на самих объектах/событиях не сложно, удобно и богоугодно
сложно это делать так, как ABAC предлагает ))

Да кто спорит, и без АБАКа жизнь есть, и на лошадях люди раньше тоже как-то ездили и жили

Еще один момент, вон тот скрин, который випрос приводил с галочками, на АБАКе он реализуется буквально мышкой. Создаёшь кучу клеймов, пишешь одну единственную политику, которая проверяет наличие у пользователя клейма с нужным разрешением для указанного в клейме объекта. Всё.