Ответ на разграничение доступа



Posted by Васеленко Сергей, Фирма КАРДИНАЛ on August 28, 1999 at 04:35:25:

In Reply to: Разграничение доступа к обособленным ресурсам в ФБП posted by Анатолий Анимица on August 27, 1999 at 09:15:15:

Спасибо, Анатолий, за ответ.

Я только не понял идеи реализации.

Где и кто прописывает права на запуск отчетов.

Главное, чтобы это конфигурировали администраторы клиентов, а не мы - разработчики.

Т.е. все файлы отчетных форм должны быть едины для всех клиентов.
А они уже сами разграничивают доступ. И им необходимо дать инструмент.

Наиболее подходящий и надежный сейчас - _rights_.fbp.

Но при этом есть описанные выше неудобства.

Кстати, может быть, проблему длинных строк в _rights_.fbp можно было бы решить тем, что разрешить писать несколько строк с описанием одного права.
Т.е. если список доступных отчетов слишком длинный, то можно было бы указать:

R Первая строка доступных отчетов
R Вторая строка доступных отчетов
и т.д.

Хочу высказаться против использования одного имени несколькими пользователями.

Во-первых, это недоплачивание средств фирме "Хакерс Дизайн", со всеми вытекающими.
В принципе, это можно понять, когда работают три человека и просто жалко платить за 10.
Но когда их больше, то на ком мы экономим? На родной "Хакерс Дизайн".

Во-вторых, идея разграничения доступа с требуемыми характеристиками надежности, конфигурирования заложена именно на именах пользователей в _rights_.fbp.
Так зачем эту идею обходить "собственными" средствами?

Если есть недостатки, давайте писать разработчикам. Если жалко денег клиентов, то см. пункт первый.

В-третьих, эти усилия, я считаю, не стоят того для нас - разработчиков приложений.
У нас был опыт написания шлюзов с расширением прав. Рустем написал такой шлюз. А в итоге они не превратились в коммерческие продукты. Т.к. основные "дыры", которые они закрывают, Аркадий постепенно закрывает сам.

Единственный подход, который я считаю оправданным, это использование одного или нескольких имен для доступа к информации извне предприятия, например Интернета.
Т.е. заводить отдельный логин для каждого клиента на данный момент нерентабельно, да и не зачем.
Но там ведь есть другие способы аутентификации пользователей, которые через скрипт web-сервера могут быть переданы в ФБП.

Пока в качестве решения описанной выше проблемы с правами доступа, я вписал прямо в отчет имя директора "DIR" и проблема была решена за 5 минут, но это же не дело, т.к. директор другого предприятия может иметь другое имя.

Может быть в этом плане стоит определенным образом присваивать начала именам?
Например,
ADMIN, SUPERVISOR, ADM, SUPER, SYSOP
DIR
GLB
BUCH
MANAGER, MAN
KAS
SKL
OPER
CLIENT
и т.д.

Или может еще и Аркадий порадует группами пользователей в _rights_.fbp и функцией типа:
[group [user]]

Тогда, группы пользователей действительно можно было бы "вшить" в сами отчеты, а пользователям давать права группы.

Но все же этот подход требует наших затрат на "вшивание" защиты в отчеты, а не усилий администратора клиента на разграничение доступа.



Пpишедшие ответы: