После прочтения http://en.wikipedia.org/wiki/Role-based_access_control и, видя, как люди строят авторизацию/контроль доступа, этот вопрос пришел мне на ум: «Почему мы проверяем роли пользователей при проверке, разрешено ли им делать X, а не проверять их разрешения?»Управление доступом на основе ролей (RBAC) заботится о разрешении или ролях?
Это то, что я понял, у пользователей есть роли, роли имеют разрешения и это то, как пользователь может иметь права доступа (Пользователь не может явно иметь прав, возложенные на него, он получает разрешение на имеющих роли)
И Я думаю, что имеет смысл проверить разрешение, подобное «AddUser» при обработке запроса на добавление пользователя, но в библиотеке .Net, а также во многих примерах в RBAC, мы видим, что они проверяют роли. Как они проверяют, находится ли пользователь в роли Администраторов, а не проверяет, имеет ли он разрешение «AddUser».
Почему? Мне кажется, что мне больше нужно проверять разрешения.
Может кто-нибудь, пожалуйста, освещает меня здесь?
Благодаря