Привет,
есть следующая система безопасности:

"Проект" содержит "Документы"

Если пользователь является читателем "Проекта", то он видит все "Документы" в проекте. Вопрос: как правильнее реализовать данную логику?

Два варианта:
1. Когда мы добавляем читателя в "Проект" мы обновременно добавляем данного читателя во все "Документы" проекта. Когда "Документ" добавляется в "Проект", то ему пересчитывается доступ. Недостатки: сложно реализовать и учесть все моменты, увеличивается база ACL. Достоинства: малое количество Select запросов для определения доступа к объекту
2. Информация о доступе определяется на максимальном уровне (на уровне проекта). Если пользователь просит доступ к объекту, то система ищет информацию на уровне объекта. Если не находит - ищет на уровне выше. Если не находит - ищет на уровне выше. И т.д. Достоинства: проще сделать и контролировать, меньший объем базы ACL. Недостатки: большее кол-во Select запросов для определения доступа к объекту

Как поступить?

Модератор: Тема перенесена из форума "Microsoft SQL Server".

авторНасколько я понимаю, Вы пытаетесь сказать, что можно дать доступ к "проекту", а можно - только к отдельным документам этого "проекта". Да, именно авторСоветую подумать о двух моментах: во-первых, о произведении количества пользователей на количество документов, во-вторых, о таких операциях как "перенос документа в другой проект" и в особенности - "изменение бизнес-логики выдачи доступа". Интересно знать, в каком случае нужно выбирать тот или иной вариант реализации?