Когда должен я использовать ACL в своем приложении
Я в значительной степени смущен относительно того, когда я должен реализовать ACL (список управления доступом) система в моем приложении, хотя я могу легко управлять полномочиями на группах просто путем выборки идентификатора группы сеансов и ограничения доступа с помощью Подлинного компонента.
Как решение ACL лучше затем подход, который я обсудил выше (ограничение группового доступа на основе идентификатора группы)?
Как делает реализацию решения ACL, упрощают вещи когда дело доходит до управления правами доступа в Вашем приложении?
До настоящего времени я узнал, что через ACL, разрешения могут быть даны и отменены во времени выполнения, но эта функциональность также достижима, не используя ACL.
Я очень смущен этим, помогите мне понять понятие, когда использовать ACL и преимущества использования ACL в Вашем веб-приложении.
Я предпочитаю кодировать с cakePHP v1.3, таким образом, было бы замечательно, если объяснение дано в контексте cakephp, но любая справка (независимый язык/технология) связанный с моим вопросом значительно ценится.
1 ответ
Если вам нужно управлять доступом к отдельным объектам , которые динамически меняются , вы должны использовать ACL (или эквивалентный механизм разрешений пользователей, например, буквальные таблицы пользователей и разрешений базы данных), а не группы. ]. Файловые системы прикрепляют ACL к отдельным файлам, поскольку вы не хотите создавать отдельную группу для каждого файла. Менеджеры баз данных прикрепляют ACL к базам данных, таблицам, представлениям, хранимым процедурам и многому другому по той же причине. Веб-серверы работают с веб-приложениями таким же образом.
В бизнес-приложении, имеющем дело с бизнес-объектами, вы можете захотеть разделить доступ к таким объектам, как, например, различные заказы на продажу, клиенты, продукты или подразделения в вашей компании, где не всем разрешено создавать / обновлять или даже читать одни и те же объекты. Например, когда сотрудники отдела продаж находятся в прямой конкуренции за бонусы, они не хотят, чтобы все остальные видели всю информацию об их потенциальных клиентах, хранящихся в CRM.
Обычно, однако, вы хотите, чтобы ваши механизмы доступа были настолько грубыми, насколько это возможно для человека: группы обычно достаточно хороши. Механизмы детального контроля доступа имеют тенденцию становиться сложными, дорогими, неточными и трудными для правильного использования. Они могут даже снизить безопасность, поскольку административное разочарование побуждает людей искать умные обходные пути ...