artofweb — sitecontrol 3rd breathingГруппы доступаКаждый ресурс системы AOW–SC3, будь то дата-блок контента или какой-нибудь функциональный модуль, имеет свой уникальный идентификатор res_id. res_id состоит из двух частей, указывающих тип ресурса и числовой номер или быть просто равным 0. Например, дата-блоки контента могут иметь следующие res_id: “co_0”, “co_21”, “co_31” или “0”, где “co” обозначает, что res_id принадлежит дата-блоку контента. Система AOW-SC3 использует маркировку res_id для разграничения прав и задания привилегий, но если значение res_id равно “0“, то никакие специальные права для использования соответствующего ресурса не требуются, все остальные res_id требуют специальных привилегий. Идентификаторы res_id объединяют в группы доступа для удобства работы. Группы доступа используются для задания разрешений записи/чтения относительно ресурсов системы. Пример группы доступа:
Данная группа доступа содержит разрешения чтения дата-блоков контента имеющих res_id = “co_7”, “co_8” и “co_9”. Все пользователи системы, состоящие в этой группе доступа автоматически получают права чтения дата-блоков с указанными res_id. Заметим, что для удобства использования, группу доступа можно снабжать многострочным названием. Каждая группа имеет свой номер, лежащий в диапазоне от 1 до 9999. Управляет группами доступа администратор системы, имеющий соответствующие полномочия. Разрешение/запрещение доступа чтения/записи к res_id происходит в группе следующим образом, в группу записывается специальная строка:
Таких строк в группе может быть неограниченное число, но, как правило, их требуется не больше 20. Заметим также, что запрещение прав чтения/записи является приоритетным, как это работает, будет рассмотрено далее. Каждое действующее лицо в системе может состоять в одной или нескольких группах доступа, либо не состоять в группах доступа вообще. Различают три вида действующих лиц – Администраторы (авторизовавшиеся в панели администратора), Посетители (зашедшие по специальной ссылке, либо принадлежащие определенному IP адресу), Пользователи (авторизовавшиеся по E-mail). Администратор и посетитель могут быть привязаны только к одной группе доступа, пользователь к неограниченному количеству. Заметим, что один человек может быть администратором, посетителем и пользователем одновременно, и, соответственно, может состоять в нескольких группах доступа одновременно. Рассмотрим пример:
Мы авторизовались в панели администрирования, и попали в группу 2 (как администратор), но мы также являемся и пользователями системы, после авторизации как пользователи, получившие принадлежность к группам 3 и 4. Рассмотрим полученные нами права. До авторизации как пользователи мы могли просматривать и редактировать товары 1й и 2й категории (”co_1”, ”co_2”), но не могли просматривать справочники (”co_9”). Однако, после авторизации как пользователи произошли следующие изменения. 2 (r+co_1,w+co_1,r+co_2,w+co_2) + 3(r+co_9) + 4(r+co_1,r–co_2,r–co3) = (r+co_1,w+co_1,w+co_2,r+co_9) Мы лишились права просматривать товары 2й категории, т.к., как было сказано ранее, права запрещения имеют больший приоритет, т.е. когда вы состоите в нескольких группах доступа, в одной из которых ”read + co_1”, а во второй ”read – co_1”, в итоге вы лишаетесь права чтения ”co_1”. Права записи без прав чтения не позволяют производить никаких действий. Для записи должны быть доступны права чтения/записи. Таким образом, у нас остались права редактирования ”co_1”, права редактирования и просмотра ”co_2” были утрачены, были получены права чтения ”co_9”. << назад |
