Здравствуйте,

Разрабатываем БД (СУБД PostgreSQL) и клиентские приложения ( 2-х звенка ).
На данный момент пользователей около 50 и уже становится не очень удобно раздавать права, а что будет когда пользователей перевалит за 100 трудно представить.
Вроде ничего сложного:
1)Определил необходимые роли для пользователей
2)Создал эти роли/группы
3)Даешь пользователям необходимые роли

Но сейчас раздачей прав занимается администратор БД и возникла необходимость переложить или отдать часть этой работы другому человеку. К тому же сложность в выделении конкретного списка ролей по обязанностям.

Как я это вижу:
Создается приложение в котором пользователь галками проставляет пользователям необходимые права.

Пользователь этой программы понятия может не иметь о структуре БД, функциях и т.д., он оперирует действиями предметной области. То есть на экране он видит нечто "Создание договоров", "Редактирование спецификации", "Просмотр заявок своего подразделения" и т.д.

При отметке соответствующего пункта пользователю даются необходимые права на объекты БД, которые связаны с этим действием.

На данный момент две идеи:

1)Описывается связь между операциями над системными объектами и операциями(предм. область)



user_operation (Назначение операций ролям)
role_name operation_idvasya 1vasya 2
db_objects (Объекты БД)
id obj_name obj_type999 PRODUCT TABLE

db_operations (Операции с объектами БД: SELECT, EXECUTE, UPDATE, etc.)
id dbop_name dbop_define5 'ВЫБОРКА' 'SELECT'

dbobj_operation (Определение необходимых действий над системными объектами для операции)
operation_id db_operation_id db_object_id1 5 999

И теперь вся работа по раздаче прав ведется через приложение, которое при проставлении галочек формирует SQL запрос(GRANT/REVOKE) на необходимые объекты и выполняет его. Админу необходимо только заполнять таблицу связи операций с объектами БД (dbobj_operation).


2) В качестве операций используются специально созданные роли



Но привязывать операции буду к специально созданным ролям/группам.

user_operation (Назначение операций ролям)
priv_role_name operation_idpriv_product_select 1priv_edit_sp 2

То есть создаются специальные группы/роли, например с префиксом priv_ для того, что бы отличать их от обычных ролей.

Этим ролям (priv_*) админом раздаются необходимые права на объекты БД.
А приложению при проставлении/снятия галочки останется только включить/исключить реального пользователя в эту группу.


Пример:
есть таблица - product
роль пользователя - vasya
привилегия(роль) - priv_product_select
Операция - Просмотр номенклатуры

Админ дает При проставлении пользователем галочки напротив операции "Просмотр номенклатуры" роль vasya становится членом роли priv_product_select, и соответственно получает права на просмотр таблицы priv_product_select.


В силу простоты мне больше нравится 2 вариант, но настораживает использование ролей не совсем так как задумано и большим количеством этих ролей. Насколько разумно использовать роли в таких целях?

Хочется услышать/получить совет как решают подобные задачи(раздачу прав) профессионалы.