К вопросу об администрировании и распределению прав... в прогах при работе с данными на SQL сервере.

Этот вопрос к работе любого сервера (не только на IB и др.), но ведь вы с базой все равно на какой-нибудь проге работаете...

Задал вопрос на Delphi и чей-то, как-то, никому и никак...
Хочу узнать как делают это другие...

НАПРИМЕР: при вводе данных необходимо обеспечить распределение прав между пользователями типа:
- занесение заказов (заявок)
- простановка дат изготовления (планирование)
- заполнение технологии (порядка работы)
- ...

При этом на одной форме операций разные пользователи заносят данные только в свои поля...

Если делать только на уровне прав базы - то не приятно нажав Ок получить сообщение что у вас нет прав... Лучше вообще не давать это делать...
Делать отдельные формы для каждого - глупо (сегодня у него одни права, а завтра - другие).

Я создал служебные таблицы в которых храню 'Имена форм', 'Имена объектов на формах' и 'Права доступа к объектам'.

На OnCreate формы считываю этот список в массив, а на OnShow раставляю своийства Enabled и Visible в соответствии со списком прав пользователя (который получаю при входе в систему)...

При этом 'запрещенные' кнопки, меню... - серенькие или нет совсем.
Для удобства элементы разбиты на группы по панелям (чтоб не задавать для каждого).

Управление основано на ограничении прав, а не на разрешении... т.е. заносятся только те формы и элементы доступ к которым необходимо ограничить.

При этом все реализуется просто (цепляешь по две функции к формам) и правами рулиш без изменения проги (вплоть до права печати отчетов)...

Поделитесь своим опытом, кто что знает и какие у кого в этом вопросе проблемы...

GoldПосмотри IBXUserProfile - потом и нам расскажешь, а то у меня времени небыло смотреть :-(

Благодарю... хоть что-то... бум смотреть...

А что больше это никому не нужно? Или уже давно решеный вопрос?
Тогда дайте хотябы ссылку...

Спасибо за обсуждение, не успел ничего спросить… (рабочий день кончился).

Пару слов от себя:

GoldПосмотри IBXUserProfile - потом и нам расскажешь, а то у меня времени небыло смотреть :-(

Посмотрел… Ну что сказать… Возможно кого-то заинтересует… но хранение прав в BLOB меня не прельщает…

Winni-Pooh
А почему бы не просматривать RDB$USER_PRIVILEGES…
…это универсально.

Хоть это форум IB и др., но если говорить об универсальности то, как быть с Oracle, MS и др.
Каждый варится в собственном соку… У меня сегодня IB – а завтра его могут уничтожить как класс и все делать на Oracle (на нем - зарплата и сие от меня не зависит).

Winni-Pooh
…ВСЕ ДОЛЖНО ХРАНИТЬСЯ В БАЗЕ ДАННЫХ, даже схемы обработки документов.

Разве в RDB$USER_PRIVILEGES есть перечень прав к формируемым отчетам? Или предлагаешь их туда занести?

Igor Elyas
Уровень прав на приложении не совсем хороший тон. Часть прав все равно надо делать на уровне БД.

Проверка прав прогой вовсе не исключает наличие прав в БД.
Я согласен, что безопасность - это комбинация приложения и БД, но разве есть какая-то разница между работой через ХП с ограниченными правами и заданию этих же прав на элементы прогой?

Причем когда я, например, вывожу форму для редактирования выполняемой операции, то разные пользователи заносят только свои данные, а доступа к ‘чужим’ у них нет, хотя они отображаются.

Главное - я уяснил – что сделал не так уж и плохо…
мож кто истчо чо добавит…

alex_k
В моем случае пользователи работают не с таблицами, полями или процедурами, они работают с документами и свойствами документов.


Что значит - работают с документами?

Если это таблица с полями свойств и BLOB полем для хранения файла документа - то какая разница?

Любое действие в проге происходит не само посебе, а нажав соответствующую пимпочку или пунтик меню, кроме 'быстрых' клавиш (которые всеравно должны быть привязаны к ним).

Соответственно, если все визуальные элементы будут перечислены с правами доступа, то любое действие в проге можно рулить...

И пускай не смущает 'большой' перечень прав... ведь в твоей проге они серано задаются и проверяются... а на деле перечень окажется не очень большим.

У меня есть таблица групповых прав и состав групп

Например: Технические службы->Конст.Тех.отдел->Технологи->Ведущий технолог

Задав юсеру право 'Ведущий технолог' - он автоматом получает и все остальное...
Чем ниже право - тем больше, но уже.
Можно задать любую группу включив туда всего помаленьку...
Весь перечень прав я получаю по ХП одним запросом...

Dik76Посмотри здесь. имхо: это то что доктор прописал :)))

Не понял юмора... я не такой гигант мысли...

Ну потратил я на создание этих таблиц и форм их редактирования пару дней...

Потом за полчаса переделал программку...

Зато теперь не надо менять прогу из-за того, что кому-то что-то надо разрешить или запретить...

Dik76
…там есть ядро безопасности.
…Переписывать ни чего не надо.

Не для меня все это… В одиночку такое не делают… И что значит ‘ни чего не надо’?

Насколько я понял, сама прога должна быть написана с обращением к объекту ядра…
Что мне писать новую прогу? Времени нет и на текущие дела…
Да и не бесплатно это…

to alex_k

Если прога берет данные не из таблиц – то я пас…
Хотя их наверно тоже можно перечислить и описать (в прогу же закладываешь какую-то логику)

Да и с прямым вводом в грид нужно делать немножко по другому…
Ведь грид – это один объект, а нужен доступ к ячейкам грида…

Я над этим не заморачивался… у меня просто нет прямого редактирования в гридах.