Здравствуйте,
Разрабатываем БД (СУБД PostgreSQL) и клиентские приложения (
2-х звенка ).
На данный момент пользователей около 50 и уже становится не очень удобно раздавать права, а что будет когда пользователей перевалит за 100 трудно представить.
Вроде ничего сложного:
1)Определил необходимые роли для пользователей
2)Создал эти роли/группы
3)Даешь пользователям необходимые роли
Но сейчас раздачей прав занимается администратор БД и возникла необходимость переложить или отдать часть этой работы другому человеку. К тому же сложность в выделении конкретного списка ролей по обязанностям.
Как я это вижу:
Создается приложение в котором пользователь галками проставляет пользователям необходимые права.
Пользователь этой программы понятия может не иметь о структуре БД, функциях и т.д., он оперирует действиями предметной области. То есть на экране он видит нечто "Создание договоров", "Редактирование спецификации", "Просмотр заявок своего подразделения" и т.д.
При отметке соответствующего пункта пользователю даются необходимые права на объекты БД, которые связаны с этим действием.
На данный момент две идеи:
1)Описывается связь между операциями над системными объектами и операциями(предм. область)
Смотрим
(Упрощенно)
Создаются таблицы:
operations (Операции/действия применительно к предметной области)
id opname1 Просмотр номенклатуры2 Редактирование спецификаций
(Назначение операций ролям)
role_name operation_idvasya 1vasya 2
db_objects (Объекты БД)
id obj_name obj_type999 PRODUCT TABLE
db_operations (Операции с объектами БД: SELECT, EXECUTE, UPDATE, etc.)
id dbop_name dbop_define5 'ВЫБОРКА' 'SELECT'
dbobj_operation (Определение необходимых действий над системными объектами для операции)
operation_id db_operation_id db_object_id1 5 999
И теперь вся работа по раздаче прав ведется через приложение, которое при проставлении галочек формирует SQL запрос(GRANT/REVOKE) на необходимые объекты и выполняет его. Админу необходимо только заполнять таблицу связи операций с объектами БД (dbobj_operation).
2) В качестве операций используются специально созданные роли
Смотрим
Так же создается таблица операций
operations (Операции/действия применительно к предметной области)
id opname1 Просмотр номенклатуры2 Редактирование спецификаций
Но привязывать операции буду к специально созданным ролям/группам.
user_operation (Назначение операций ролям)
priv_role_name operation_idpriv_product_select 1priv_edit_sp 2
То есть создаются специальные группы/роли, например с префиксом priv_ для того, что бы отличать их от обычных ролей.
Этим ролям (priv_*) админом раздаются необходимые права на объекты БД.
А приложению при проставлении/снятия галочки останется только включить/исключить реального пользователя в эту группу.
Пример:
есть таблица - product
роль пользователя - vasya
привилегия(роль) - priv_product_select
Операция - Просмотр номенклатуры
Админ дает
GRANT SELECT ON product TO priv_product_select;
При проставлении пользователем галочки напротив операции "Просмотр номенклатуры" роль vasya становится членом роли priv_product_select, и соответственно получает права на просмотр таблицы priv_product_select.
В силу простоты мне больше нравится 2 вариант, но настораживает использование ролей не совсем так как задумано и большим количеством этих ролей. Насколько разумно использовать роли в таких целях?
Хочется услышать/получить совет как решают подобные задачи(раздачу прав) профессионалы.
