Opened by sitescriptor at 2010-10-14 00:34
User since
2006-05-04
564 Artikel
BenutzerIn
2006-05-04
564 Artikel
BenutzerIn
Hallo sitescriptor,
ich würde ein bisschen anders definieren:
- Recht (funktional): Bestimmte Funktion anwenden, bestimmte Aktion ausführen
- Recht (inhaltlich): Funktionales Recht auf bestimmte Datenbestände anwenden
- Rolle: Menge von Rechten (Beispiel: Administrator, Moderator, Editor etc.)
- Gruppe: Menge von Usern (Beispiel: Stammkunden, Außendienstler etc.)
- User: Ein Individuum
Im Maximalfall können alle diese Ebenen logisch abgebildet und in allen Richtungen aufeinander bezogen werden; Rollen und Gruppen ggf. auch jeweils rekursiv. (Was bei Dir Gruppe heißt, wäre dann eine Rolle, deren Rechte von einer anderen Rolle geerbt werden.) Ein solches Modell kann aber ungeheuer komplex und kaum mehr wartbar sein. Deshalb wird man bemüht sein, die Komplexität auf das voraussichtlich benötigte reduzieren.
Die Unterscheidung zwischen funktionalen und inhaltlichen Rechten kann sinnvoll sein, zumindest konzeptionell. (Beispiel: Wenn ein User die Rolle Editor hat, darf er die ihm zugeordneten Datenbestände editieren, hat er nur die Rolle Researcher, dann darf er die ihm zugeordneten Datenbestände nur anschauen usw. - Wie gesagt, das kann je nach Anwendungsfall sinnvoll sein.)
Rolle und Gruppe werden oft zu einer logischen Einheit vereinigt, sodass man dann auf derselben logischen Ebene z.B. ein Objekt Administrator (definiert dadurch, dass er alle Rechte hat) und ein Objekt Jeder (definiert dadurch, dass ihm alle User angehören) hat. Das ist meiner Erfahrung nach recht praktikabel, aber den grundlegenden Unterschied sollte man schon im Kopf behalten.
Es kann sinnvoll sein, Rechte einzeln direkt an die User zu vergeben; vielleicht bleibt es aber übersichtlicher, wenn man Rechte nur an Gruppen bzw. in Form von vordefinierten Rollen vergibt.
Wenn Dein vereinfachtes Modell den Anforderungen Deiner Anwendung genügt, ist es prima.
Grüße
payx
Last edited: 2010-10-14 22:42:49 +0200 (CEST)
ich würde ein bisschen anders definieren:
- Recht (funktional): Bestimmte Funktion anwenden, bestimmte Aktion ausführen
- Recht (inhaltlich): Funktionales Recht auf bestimmte Datenbestände anwenden
- Rolle: Menge von Rechten (Beispiel: Administrator, Moderator, Editor etc.)
- Gruppe: Menge von Usern (Beispiel: Stammkunden, Außendienstler etc.)
- User: Ein Individuum
Im Maximalfall können alle diese Ebenen logisch abgebildet und in allen Richtungen aufeinander bezogen werden; Rollen und Gruppen ggf. auch jeweils rekursiv. (Was bei Dir Gruppe heißt, wäre dann eine Rolle, deren Rechte von einer anderen Rolle geerbt werden.) Ein solches Modell kann aber ungeheuer komplex und kaum mehr wartbar sein. Deshalb wird man bemüht sein, die Komplexität auf das voraussichtlich benötigte reduzieren.
Die Unterscheidung zwischen funktionalen und inhaltlichen Rechten kann sinnvoll sein, zumindest konzeptionell. (Beispiel: Wenn ein User die Rolle Editor hat, darf er die ihm zugeordneten Datenbestände editieren, hat er nur die Rolle Researcher, dann darf er die ihm zugeordneten Datenbestände nur anschauen usw. - Wie gesagt, das kann je nach Anwendungsfall sinnvoll sein.)
Rolle und Gruppe werden oft zu einer logischen Einheit vereinigt, sodass man dann auf derselben logischen Ebene z.B. ein Objekt Administrator (definiert dadurch, dass er alle Rechte hat) und ein Objekt Jeder (definiert dadurch, dass ihm alle User angehören) hat. Das ist meiner Erfahrung nach recht praktikabel, aber den grundlegenden Unterschied sollte man schon im Kopf behalten.
Es kann sinnvoll sein, Rechte einzeln direkt an die User zu vergeben; vielleicht bleibt es aber übersichtlicher, wenn man Rechte nur an Gruppen bzw. in Form von vordefinierten Rollen vergibt.
Wenn Dein vereinfachtes Modell den Anforderungen Deiner Anwendung genügt, ist es prima.
Grüße
payx
Last edited: 2010-10-14 22:42:49 +0200 (CEST)