웹 응용 프로그램의 퍼지 사용자 관리

Question

웹 응용 프로그램에서 역할 관리에 대해 혼동스러워합니다.
가정 : 사용자가 역할에 속하고 하나의 역할에 하나 이상의 권한이 있고 권한이 다음과 같을 수 있습니다.보기 페이지 options.html.

역할이 권한으로 구성되어 있으면 (이 페이지보기, 해당 페이지보기 ...) 코드에서 볼 수있는 사용자가 어떤 페이지인지 확인해야합니까?

두 가지 옵션은 내 마음이 교차했다

:
가) 역할 수준 : 사용자가 thatRole의 구성원 인 경우 ...
b)는 권한 레벨이 페이지 표시 : 사용자가 permissionToViewThatPage가있는 경우 다음 보여 페이지 ...

을

만약 a)가 갈 길이라면, 왜 우리는 허가가 필요합니까?
관리자 역할에는 해당 페이지를 볼 권한이 있으며 나중에 누군가가 방문하여 권한을 변경합니다.
코드에서 우리는 사용자가 admin 역할의 구성원인지 묻지 만 권한을 확인하지는 않습니다.

질문 :
소스 코드 (JSP/JSF, ASP.NET)에서 사용자 역할/권한을 어떻게 관리합니까?

Answer 1

역할을 사용하지 않으면 요구 사항이 변경 될 때 개인을 변경해야하기 때문에 사용자 유지 관리가 번거로워집니다. 페이지 또는 기능 수준 권한을 사용하지 않으면 요구 사항이 변경 될 때 코드를 변경해야하기 때문에 코드 유지 관리가 번거로워집니다.

페이지의 기능을 사용하려면 필요에 따라 권한이 필요하고 사용자가 하나 이상의 역할에 속하게 한 다음 역할을 권한과 일치시키는 방법이 필요합니다.

Answer 2

기본 구분은 사용 권한이 역할에 할당되고 역할이 특정 사용자에게 할당된다는 것입니다. 이 개념의 기본 개념은 실제 코드를 모른 채 액세스 관리를 최대한 동적으로 만드는 것입니다.

Answer 3

b). 당신이 정의한 권한을 사용하지 않을 것이라면 당신은 맞습니다. 하지만 현재 설정이 주어진다면 권한 만 가져야합니다. 관리자 문제를 처리하는 가장 좋은 방법은 사용자에게 별도의 역할 검사를 추가하는 대신 모든 권한을 Admin 역할에 부여하는 것입니다.