RBAC+ABAC
Добавлено: 2018.06.13, 15:57
Всем привет...
Суть задачи - найти хорошее решение, для гибкого распределения доступа к страницам, элементам и данным.
Исходные данные:
1. есть некий сервис, который имеет несколько уровней доступом (менеджерский, админский, бухгалтерский и т.д.). Каждому из пользователей заданного уровня отображаются лишь доступные ему клиенты (т.е. менеджер видит только своих, админ видит все, бухгалтер только клиентов менеджера 1 и 2).
Для него конечно может подойти RBAC
2. Но у меня есть и доп задача к этим пользователям.
К примеру у меня есть два менеджера, которые согласно п.1 имеют доступ только к своим личным, клиентам, которые не пересекаются.
Но разница в этих менеджерах такова, что у менеджера 1 в биллинге есть кнопка "Создать платеж", а у другого нет. Ну не дал админ второму доступ на эту кнопку. Не заслужил еще.
Будет это кнопка или страница или вид, не важно... Суть такова, что суперглавный админ, может всем раздать индивидуальный доступ к функционалу проекта. Права должны комбинироваться п. 1 + п. 2 и выдаваться веб страница на экран с доступными данными и доступными элементами управления.
т.е. данные отдаются правилами RBAC, вот доступ к элементам по правилам ABAC
Реализовывал ли кто нить подобное? Или может кто то может посоветовать готовое решение?
Суть задачи - найти хорошее решение, для гибкого распределения доступа к страницам, элементам и данным.
Исходные данные:
1. есть некий сервис, который имеет несколько уровней доступом (менеджерский, админский, бухгалтерский и т.д.). Каждому из пользователей заданного уровня отображаются лишь доступные ему клиенты (т.е. менеджер видит только своих, админ видит все, бухгалтер только клиентов менеджера 1 и 2).
Для него конечно может подойти RBAC
2. Но у меня есть и доп задача к этим пользователям.
К примеру у меня есть два менеджера, которые согласно п.1 имеют доступ только к своим личным, клиентам, которые не пересекаются.
Но разница в этих менеджерах такова, что у менеджера 1 в биллинге есть кнопка "Создать платеж", а у другого нет. Ну не дал админ второму доступ на эту кнопку. Не заслужил еще.
Будет это кнопка или страница или вид, не важно... Суть такова, что суперглавный админ, может всем раздать индивидуальный доступ к функционалу проекта. Права должны комбинироваться п. 1 + п. 2 и выдаваться веб страница на экран с доступными данными и доступными элементами управления.
т.е. данные отдаются правилами RBAC, вот доступ к элементам по правилам ABAC
Реализовывал ли кто нить подобное? Или может кто то может посоветовать готовое решение?