|
|
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
Нужно разработать систему разграничения прав на доступ к каталогу запасных частей для средней по размерам CRM производителя. Что защищать: Каталог содержит порядка 500000 записей собранных в иерархическую структуру группа/модель/чертеж/(зап.часть или документ) и возможно промежуточные групирующие фолдеры. Нужно поддержать наследование прав доступа от узла где права явно заданы к дочерним узлам. Параллельно нужно разграничить доступ по типам документов (т.е. организация А может видеть только инструкции по инсталляции к примеру). Возможно права будут назначаться на атрибуты зап.частей (например по производителю и т.д.). Каждая зап.часть имеет цену которая также зависит от категории пользователя. От кого защищать: Организации делятся по отношению к производителю - дилеры, дистрибьютеры. Далее по подразделениям. По региональному признаку. Также возможно потребуется разграничивать права на уровне ролей и отдельных логинов. Права на доступ к отдельным элементам каталога даются на основе принадлежности логина к организации/отделу, региона организации или роли; в основном на уровне рутового каталога. Требования достаточно расплывчатые. Посоветуйте где можно найти информацию как вообще подступиться к этой задаче. С точки зрения бизнес логики: Как организовать удобную и непротиворечивую систему организаций/логинов/ролей/пермишенов. Есть ли относительно простые способы имплементировать наследование прав (с возможностью переопределения ниже или без) a la NTFS File Security. Хотелось бы посмотреть на аналогичные системы прежде чем изобретать свой велосипед. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2005, 22:02 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
авторТребования достаточно расплывчатые. Не знаю ЧТО нужно делать, невозможно сделать это ПРАВИЛЬНО. Уверен, что Вы это понимаете :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.11.2005, 09:12 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
есть следующий подход: Имеем каталог объектов (дерево) - Catalog, имеем набор атрибутов (отдельная таблица Attribute). Имеем таблицу позиций товара (Items) и таблицу со значениями атрибутов Item2Attribute. Назначаем права на разделы каталога. Права двух типов - на просмотр позиций и только на просмотр наименования раздела (позиции в этом разделе не видны). Назначение права на отдельную позицию выполняется в два этапа - фиксируем право на эту позицию и право на просмотр названия соотв. раздела каталога. Права на атрибуты назначаем как угодно. При посроении выборки позиций товара из раздела каталога отдельной ХП получаем все объекты и отдельной ХП атрибуты, которые можно видеть. Плюс разделение прав на редактирование и только на чтение. P.S. Кажется, получилось несколько сумбурно, времени маловато :( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.11.2005, 09:21 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
А если пользователю даны права добавлять записи, в числе атрибутов есть некоторый,с обязательным вводом, а прав на него не дадено? Что делать будем? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.11.2005, 09:51 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
Конечно, поиск рулит по словам "контроль доступа", "доступ" особенно в разделе "Проектирование БД". В качестве последнего разговора по этому поводу: Доступ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.11.2005, 10:10 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
авторА если пользователю даны права добавлять записи, в числе атрибутов есть некоторый,с обязательным вводом, а прав на него не дадено? Хороший вопрос :) Наверняка что-то можно придумать. А видел я это в системке небольшой, где обязательные атрибуты были у всех и хранились в батллице items- позиции товара. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.11.2005, 11:51 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
Если Вам всегда надо будет давать доступ по иерархии, то подходит группо-ролевая модель управления правами. Если же необходимо будет давать права, например, на чертежи с некоторым атрибутам из ВСЕХ групп, то нужна модель, основанная на ролях и областях видимости. Группо-ролевая модель - это классика , например, управления правами пользователей в службах каталогов (Active Directory и т.п.). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.11.2005, 03:53 |
|
||
|
Разграничение прав доступа
|
|||
|---|---|---|---|
|
#18+
Я бы предпочел обратную модель хранения - хранятся не право - а его отсутствие, тогда легче давать права, а в позиции при создании наследовать плава каталога и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2005, 18:15 |
|
||
|
|
start [/forum/topic.php?fid=33&msg=33374836&tid=1549523]: |
0ms |
get settings: |
11ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
63ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
48ms |
get tp. blocked users: |
2ms |
| others: | 14ms |
| total: | 172ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
