ViPRosты вынужден везде в коде пихать HasAccessToFieldOneInMacroTypeOther
а ВИПРОС возвращает макротип уже скастрированный по правам - почувствуй разницу

Ты не ответил на вопрос

hVosttкаким образом реализуется ответ на вопрос: есть ли у меня доступ к такому-то полю к такому-то объекту?

а то, что подобные клеймы ущербны я и сам знаю, их будет слишком дофига, да и контролить это сложно. просто сам факт, я подобные решения видел много раз, они работают. просто это довольно тупо.

но клеймы могут быть другими, не обязательно мапиться 1 к 1 на поле конкретного объекта. просто обозначать некий бизнес-статус, на основе которого приниматься решения.

ViPRosну ты ж видел и знаешь

сейчас там Роль --> Набор предикатов (контекст - все макротипы)
Можно было бы Роль выкинуть, но тогда растет сложность, так как код классифицировать сложно, хотя можно было бы это дело автоматизировать - создать обобщенный АСТ из всех политик-предикатов

да точно, предикаты. так себе решение, деревянное.

у нас, например, можно описать так, что пользователь не увидит поле, если сегодня полнолуние :) это всё описывается единым механизмом, в виде политик ABAC. очень гибко, покрывает самые безумные больные запросы, пофигу вообще. а предикаты это очень ограниченно и как серпом по яйцам, хотя у нас их тоже можно завести всё в том же ABAC-е, хочешь предикаты, хочешь клеймы.. хочешь смотри атрибуты объекта, пользователя, действия, контекста и говори : можно или нельзя.

ViPRosРоли и есть бизнес-статус
а дополнительное сужение через политики, там где надо
ладно пшел по врачам

ViPRosа систематизировать все это уже никому не дано
фиг ты знаешь кто на что имеет права и пошли дубли и т.д.

эээ брат, не )) это всё ультрасистематизировано, более того, можно:

1. вывести все правила в виде отчёта (как угодно сформированного и в каком угодно формате)
2. ответить на вопрос: -- а сможет ли пользователь..? и получить
3. получить информацию, а с какого перепуга данное правило действует, по какому регламенту, кто создал, и сколько оно будет ещё действовать?

политики представляют собой древовидную структуру с любой глубиной вложенности с мощным инструментом самовалидации и таксономии. в общем та ещё тема, мы задолбались её делать, но оно того стоило, щас просто маст хев %)

Petro123а те что в AD, SSO лежат.
Раз у нас такие глобальные темы обо всем.

это атрибуты пользователя, те же клеймы да, политики это логика, к авторизационной информации не имеет отношения