projektovanje sistema privilegija

[jablan]

Citat:

Originalno napisao ivanhoe

uzmi da imas neki community sajt sa par hiljada usera, sa razradjenim sistemom privilegija, grupa, imas forum, blog, imterni email sistem, mogucnost grupnog editovanja dokumenata i tako to... i onda dodas neku novu skriptu sa 5-6 novih akcija...

Pa ne kažem ja da ti ne možeš toliko da zakomplikuješ sistem da dodavanje prava pristupa za novu funkcionalnost postane pakao... Ja ti samo velim, mi imamo jako složen proizvod (komercijalni CMS) i dodavanje nove akcije nije neki problem.

A što se tiče privilegije na osnovu hijerarhija, obično se ne prave hijerarhije rola, već grupa, a prava se ne vezuju za grupe, već za role, tako da hijerarhija nije dodatni problem.

[ivanhoe]

Citat:

Originalno napisao jablan

Pa ne kažem ja da ti ne možeš toliko da zakomplikuješ sistem da dodavanje prava pristupa za novu funkcionalnost postane pakao... Ja ti samo velim, mi imamo jako složen proizvod (komercijalni CMS) i dodavanje nove akcije nije neki problem.

pazi, no hard feelings, ali od toga sto vi imate sistem u kome to radi super, bez da mi kazes vise detalja o tome, meni zaista nista ne koristi.. mogu samo da budem impresioniran....

sve moze da se napravi, naravno, mene zanimaju neki konkretni koncepti koji su se pokazali ok u praksi, da bih imao odakle da krenem sa radom..

U svakom slucaju hvala svima na savetima, iskopao sam i na netu neke tekstvoe, pa mislim da imam dovoljno informacija za pocetak...

[jablan]

Citat:

Originalno napisao ivanhoe

pazi, no hard feelings, ali od toga sto vi imate sistem u kome to radi super, bez da mi kazes vise detalja o tome, meni zaista nista ne koristi.. mogu samo da budem impresioniran....

Sorry, nisam znao da se stiče utisak da neću da iznesem više detalja...

U principu, rešenje je slično Vesićevom (samo što su privilegije pozitivne, a ne negativne - ako rola ima akciju, ima pravo na nju). Osim što mi imamo i grupe - više korisnika može da se spakuje u grupu, a role se mogu dodavati i korisnicima i grupama.

Prava pristupa se ne definišu na nivou stranice ili kontrole (ne znam tačno naziv za veb kontrole u PHP terminologiji), već na nivou akcije (npr. kreiranje novog dokumenta, checkin, checkout, brisanje, pomeranje itd) i to za pojedinačni tip dokumenta. Takođe se prava pristupa definišu i na konkretnim dokumentima, ali ne na nivou akcija, već na nivou pristupa - da li korisnik ima ili nema pristup konkretnom dokumentu.

Workflow sistem je posebna priča zbog svoje složenosti. Prava se definišu na nivou akcije, tj. da li određena rola ima pravo da prevede dokument iz stanja A u stanje B (na primer publishovanje dokumenta itd).

Što se keširanja tiče, nemamo potrebe to da držimo u memoriji jer je sva logika filtriranja po pravu pristupa u samoj bazi, odnosno u stored procedurama. Imamo keširanje već izvučenih (i filtriranih po pravu pristupa) podataka iz baze, deo ključa je i korisnikov ID, ali to je opet posebna priča...

Ako te interesuje još nešto, pitaj. Rado bih ti dumpovao ovde strukturu baze, ali bojim se da se to kosi sa ugovorom koji sam potpisao.

[zextra]

http://phpgacl.sourceforge.net/

Vrlo fleksibilan sistem kontrole dozvola. Moguce su i allow i deny dozvole, i to izmedju usera (i celih grupa) sa jedne strane, akcija (ili objekata, po terminologiji ove klase) koje mogu da izvrsavaju sa druge strane, i objekata na kojima se doticne akcije mogu izvrsavati sa trece strane. Terminologija koja se koristi je malo uvrnuta, kao i administrativni interfejs, ali postoje API funkcije koje omogucavaju sve vrste promena na userima, dozvolama, objektima, etc.. na vrlo lak nacin. Najbitnija stvar je funkcija za proveru acl_check() koja prihvata 4 parametra i ima boolean output. Po recima autora, sistem je vrlo skalabilan - navodno postoji sistem sa preko 60000 korisnika, 200 grupa i 300 razlicitih akcija (objekata).

Napisao sam par klasa koje mi omogucavaju zamalo kompletnu funkcionalnost doticne klase, sa nesto poboljsanja. Usput sam iz celog sistema izdvojio klasu koja sluzi samo za upravljanje drvolikim strukturama (dodaj nod, obrisi nod, pomeri nod, stuff like that...), koja je takodje vrlo fleksibilna, pa ako nekom treba nesto slicno, nek se javi

[noviKorisnik]

Оvo je recimo sve od privilegija što može da se setuje na SharePoint timskim sajtovima:

• List Rights
  • Manage List Permissions - Grant, deny, or change user permissions to a list.
  • Manage Lists - Approve content in lists, add or remove columns in a list, and add or remove public views of a list.
  • Cancel Check-Out - Check in a document without saving the current changes.
  • Add Items - Add items to lists, add documents to document libraries, add Web discussion comments.
  • Edit Items - Edit items in lists, edit documents in document libraries, edit Web discussion comments in documents, and customize Web Part Pages in document libraries.
  • Delete Items - Delete items from a list, documents from a document library, and Web discussion comments in documents.
  • View Items - View items in lists, documents in document libraries, view Web discussion comments, and set up e-mail alerts for lists.
• Site Rights
  • Manage Site Groups - Create, change, and delete site groups, including adding users to the site groups and specifying which rights are assigned to a site group.
  • View Usage Data - View reports on Web site usage.
  • Create Subsites - Create subsites such as team sites, Meeting Workspace sites, and Document Workspace sites.
  • Manage Web Site - Grants the ability to perform all administration tasks for the Web site as well as manage content and permissions.
  • Add and Customize Pages - Add, change, or delete HTML pages or Web Part Pages, and edit the Web site using a Windows SharePoint Services-compatible editor.
  • Apply Themes and Borders - Apply a theme or borders to the entire Web site.
  • Apply Style Sheets - Apply a style sheet (.CSS file) to the Web site.
  • Browse Directories - Browse directories in a Web site.
  • View Pages - View pages in a Web site.
• Personal Rights
  • Manage Personal Views - Create, change, and delete personal views of lists.
  • Add/Remove Private Web Parts - Add or remove private Web Parts on a Web Part Page.
  • Update Personal Web Parts - Update Web Parts to display personalized information.
  • Create Cross-Site Groups - Create a group of users that can be granted access to any site within the site collection.

[ivanhoe]

Citat:

Originalno napisao jablan

Osim što mi imamo i grupe - više korisnika može da se spakuje u grupu, a role se mogu dodavati i korisnicima i grupama.

hvala na opisu, i naravno da se podrazumeva da ne mozes da objavljujes podatke o sistemu... ali kao sto rekoh mislim da sam iz ove price stekao neku perspektivu o mogucim arhitekturama ovakvog sistema, nazvrljao sam gomilu papira sa dijagramima, kockicama i strelicama, sad jos samo da skrpim slobodnog vremena da napisem neki kod za to