создать экземпляр DAO только в том случае, если он сконфигурирован

Question

Может ли кто-нибудь рассказать мне лучший подход к решению набора привилегий пользователя, если пользователь является членом нескольких групп, которые предоставляют не ортогональные наборы привилегий? В мире авторизации, как мы обычно справляемся с проблемой (принимая минимальный набор привилегий или принимая максимальный набор привилегий или где-то посередине и т. Д.)?

Answer 1

Я не совсем уверен в контексте вашего вопроса, но я постараюсь ответить в целом. Если у вас есть пользователь, который является частью нескольких ортогональных групп, вы:

1. Используйте RBAC и назначьте пользователю несколько ролей. Это даст пользователю набор полномочий/максимальных привилегий.
2. Дайте пользователю несколько учетных записей, по одному на группу. Например, у вас могут быть пользователи alex_student и alex_teacher, если ученик Алекс также учит.
3. Предоставьте пользователю минимальный набор привилегий и позвольте им временно изменить их. Что-то вроде sudo, которое работает для неперекрывающихся привилегий.