ACL - ограничить определенные функции?

Question

Я читал об ACL, и это довольно интересно, но я не уверен, является ли ACL правильным инструментом для моей новой бэкэнд-системы.

Я хочу, чтобы ограничить определенные функции от групп пользователей и ролей, например:

• группа «Обработка» может увидеть категорию выпадающий список, но он будет скрыт от «Продажа» команды.

• Группа "Обработка" a несколько вариантов в раскрывающемся списке категорий. Группа администраторов может видеть все.

• Если я добавлю новую группу под названием «Обучение», я хотел бы, чтобы команда «Обучение» имела доступ к выходу категории .

Действительно ли ACL подходит для этого? Если да - как это можно сделать.

Answer 1

Список контроля доступа - список разрешений, прикрепленных к объекту. Он определяет, каким пользователям или системным процессам предоставляется доступ к объектам, а также какие операции разрешены для данных объектов. - wiki

Так оно подходит точно к вашей проблеме.

Создайте действия, пользователи, а затем просто установите действия для пользователей. Или создайте группы и задайте действия для группы, а затем поместите пользователей в определенную группу.

Answer 2

ACL - списки контроля доступа - хорошая отправная точка, но вы, вероятно, захотите рассмотреть более продвинутые модели авторизации, например, управление доступом на основе ролей и последующее управление доступом на основе атрибутов. NIST определил эти две модели очень хорошо:

• NIST RBAC: http://csrc.nist.gov/groups/SNS/rbac/
• NIST ДКС: http://csrc.nist.gov/projects/abac/

RBAC и ДКС будет масштабироваться лучше, чем просто ACL.