раздача прав на формы

[Attid]

решил я значит в своей проге раздавать права на формы.

типа в зависимости от того кто зашел может получить только то ему положенно. вот думаю как это дело лучше и проще организовать.

структура программы : запускается главная форма в ней только куча менюшек ~30 из которых вызывается порядка 70 форм

некоторые формы можно вызвать из разных мест, так что просто убирать менюшки наверно не получится, или прийдется их убират в нескольких местах.

какие способы я знаю:

1, контрольные точки, в БД создаются точки доступа (можно цифры можно буквы) с описанием что за что отвечает
раздают эти точки доступа людям, программа перед тем как показать какую нибуть менюху или форму сверяется а если у чела такая точка и разрешает или запрещает.
+ можно одну точку вешать на несколько форм
- прийдется всю структуру описывать и каждую форму менять.


2, по названию форм. принцип тотже, только хранятся названия форм аля fmEmployee fmServices
- нужно будет загонять кучу форм даже челу нужен доступ только к "услугам" а там десяток форм
+ легкая автоматизация, проверка прописывается в предке , который просто смотрит если доступ на форму, и так же проверяет доступ на менюхи путем проверки компонент miEmployee miServices
+ можно даже не придумывать описания, просто в форме назначения прав пройти по всем формам проекта и взять их капшены.

может еще какие варианты ? кто что использует ?

[shade]

Помоему оба варианта хороши.

У себя на Шамане планирую сделать типа такого (насколько я понял это твой 1-ый вариант):

Таблица Users - пользователи
...

Таблица Roles - роли
role_id - ID роли
role_name - строковый идентификатор роли (например, news_editor)
role_title - удобочитаемое название роли (например, "Модератор новостей")
role_description - описание роли

Таблица Grants - назначения прав доступа
user_id - ID пользователя
role_id - ID роли

И набор API
fucntion grant($role, $user); - дает допуступ пользователю:
INSERT grants (role_id, user_id) ($role[id], $user[id]);

function revoke($role, $user); - забирает права доступа:
DELETE FROM grants WHERE role_id = $role[id] AND user_id = $user[id]

function check_access($role, $user); - проверка доступа:
SELECT * FROM grants WHERE role_id = $role[id] AND user_id = $user[id]

Добавлено спустя 4 минуты 51 секунду:
Смысл в том, что один пользователь может испольнять несколько ролей. А каждая роль подразумевает возможность выполнения определенного набора дейстий и этих действий может быть несколько. Так например для "Модератора новостей" нужно право добавлять, редактировать и удалять новости, что в моей системе три формы. И нет смысла на каждую форму назначать права отдельно.

С другой стороны я думаю, а не возможна ли ситуация, когда одно действие может разрешаться разными ролями? Пока такого случая представить не могу.

[NTFS]

Есть самописная готовая система безопасности, реализованная в виде библиотеки-dll для вызова процедуры получения прав из главной программы и exe-программы управления базой безопасности (пользователи, пароли, профили, права). Все на fpc и Lazarus, с исходными кодами. Если интересно, пиши на tereshenkov@mail.ru

[Attid]

NTFS
да код мне реализовать не проблема, ты бы описал каким принципом ты там пользуешься , одним из описанных или что-то третье.

[*vmr]

А чем unix-like ACL не устраивает? Как по мне, так самое то (уже два года успешно юзаем)

[Attid]

А чем unix-like ACL не устраивает? Как по мне, так самое то (уже два года успешно юзаем)

я таких то и букв не знаю. в вике то прочитал что есть ACL только каким боком причесать и чем отличается от первого варианта не понял. можно вкраце как устроенно и как работает ?

[alexs]

Я просто держу таблицу прав пользователей вида (№ права, Оператор, Досту). И в программе функция, которая выбирает доступ оператору по номеру права. А уже в нужных местах вызываю эту функцию с ссответсвующим номером для проверки разрешения.

[*vmr]

я таких то и букв не знаю

Ээээ, ну это ж основы основ

в вике то прочитал что есть ACL

В Вике так сумбурно написано... жуть...

и чем отличается от первого варианта не понял

Тем что не велосипед
ACL - это принцип задания и описания прав доступа

можно вкраце как устроенно и как работает ?

Может и не самая хорошая дока, но лучшей пока не нашел:
http://www.suse.de/~agruen/acl/linux-acls/online/



Наверное будет и проще и быстрее сделать второй вариант (я бы с него и начал), но все же теорию почитать стоит

[Attid]

но лучшей пока не нашел:

ну своими словами бы описал.


разделения прав на уровне пользователя ОС у меня не пойдет, запущен комп, входит автоматом, запускает мое ПО вместо ДЕ и там в зависимости от логина в ПО будут права. специка такая. нет привязоности к раб месту и пользователям ОС.

[*vmr]

разделения прав на уровне пользователя ОС у меня не пойдет, запущен комп, входит автоматом, запускает мое ПО вместо ДЕ и там в зависимости от логина в ПО будут права. специка такая. нет привязоности к раб месту и пользователям ОС.

Права ОС там не при чем. Когда я говорил о unix-like, я говорил о принципе

Кстати у меня вообще выполнено в виде тонкого клиента с жирным сервером на удаленной машине

А принцип такой:
Для каждого обьекта, которому необходимо разграничение доступа, создается ACL — список entries.
Каждый entry — всего-навсего является парой субъект - его права . Субъект — это либо юзер, либо группа. Права — это то что субъекту позволено делать с объектом: читать, писать или выполнять (могут быть и другие, но обычно этого достаточно)
Для юниксов есть правило что для каждого ACL существует как минимум три entry: Owner, Group и Others

Т.е. для каждого обьекта ACL задает список пользователей и что им разрешено делать с объектом (читать, писать или выполнять)

[Logo]

Мне кажется, что первый метод предпочтительней. Форма, а также компоненты сверяются, может ли текущий оператор их использовать. Ведь может быть ситуация, что на форме, например, PageControl и для каждого оператора доступны только определенные страницы. Да и с панелями инструментов такая же ситуация.

Наверное не плохо было бы в TComponent добавить свойство ACL. Нужно только обдумать его принцип реализации.

[shade]

Для каждого обьекта, которому необходимо разграничение доступа, создается ACL — список entries.Каждый entry — всего-навсего является парой субъект - его права . Субъект — это либо юзер, либо группа. Права — это то что субъекту позволено делать с объектом: читать, писать или выполнять (могут быть и другие, но обычно этого достаточно)Для юниксов есть правило что для каждого ACL существует как минимум три entry: Owner, Group и Others

Хм.. так и не понял в чем отличие от описанных выше вариантов.

Список, таблица.. какая приниципиальная разница?
Ну преставь, что ACL упаковали в таблицу.
Представь, что объектом права является форма (а не объекты которые она редактирует, т.к. в некоторых задачах этих объектов куча, а раздавать права на каждый объект нет смысла: на кой черт развадать право на каждый отдельно взятый пакет молока?).

Что мы имеем?

У нас есть множество пользователей (операторов) и множество объектов права (в данном случае формы). Между ними нужно установить отношение многие-ко-многим. Т.е. чтобы одному пользователю можно было предоставить права на несколько объектов, и чтобы на каждый объект можно было предоставить право нескольким пользователям. А чем связывать, таблицей-ли, списками-ли, без разницы. Если это приложение БД, то проще связать таблицей, а как обзывать эту связь никакого значения не имеет, хоть ACL, хоть ACT

[*vmr]

Хм.. так и не понял в чем отличие от описанных выше вариантов.

Универсальность ...
... и принцип задания: права назначаются обьекту, а не обьект выбирает права (что обычно захардкожено)
Права — это свойства обьекта, а не наоборот (когда для каждой роли есть жестко прописанные обьекты)

Например твоя функция check_acces требует указания роли для проверки. А это означает что роль ты пишеш прямо в коде: вот эта вот фомочка будет требовать такую роль, а вот та сякую. Это хардкод.
ACL же позволяет кодировать в стиле: "а есть ли у текущего пользователя право на открытие этой формы". Совсем другой подход. Никаких жестко прописанных ролей. Есть только обьект(форма) и субьект(пользователь).

Представь, что объектом права является форма

Ну и пусть себе является
Если проверять на права только форму будет достаточно, то необходимость в дальнейших проверках отпадает (поставил permissions на папку, и все лежащие в ней файлы вдруг, словно сговорились, стали требовать аутентификацию)

У нас есть множество пользователей (операторов) и множество объектов права (в данном случае формы). Между ними нужно установить отношение многие-ко-многим.

... а еще есть разновидности прав(чтение/запись/etc)...
... и получается многие-ко-дохрена

А потом в этой каше еще надо будет разбиратся!
А теперь представь как ты всю это кашу будешь задавать, и чем это будет отличатся от вышеупомянутого ACL'я

[shade]

права назначаются обьекту, а не обьект выбирает права (что обычно захардкожено)Права — это свойства обьекта, а не наоборот (когда для каждой роли есть жестко прописанные обьекты)

Вы не поняли описанной идеи. Грубо говоря, в моем примере, роль - является объектом права. И чтобы дать/забрать право используются методы grant/revoke. "Хадкодом" определяется только список ролей (объектов права) и что, что они позволяют. А то, кому дается право, определяется в рантайме.

Пример. Допустим мы делаем какой-то крупный информационный сайт. Допустим нужно сделать модуль новостей. Нужно предоставить возможность открывать доступ оператором на модерирование новостей (добавление, правка, удаление). Вводиться роль (или специальная группа, если хотите) news_editor, которая дает право модерирования новостей (ведь бессмыслено развать права на каждую отдельно взятую новость). Если пользователь состоит в этой группе, то ему разрешается доступ. В коде, мы можем проверить с помощью check_access, обладает ли пользовать требуемой ролью (состоит ли в этой спец. группе).

Для админа отображается список ролей/групп (название, описание роли, кто обладает ролью). Он выбирает роль и смотрит список пользователей, которые обладают этой ролью. Он может добавлять в этот список пользователей (и они получат право) и удалять (тогда они теряют право). С другой стороны мы можем посмотреть, какими ролями обладает конкретный пользователь: посмотреть/изменить список ролей.

Например, Васе Пупкину, нужно дать право модерировать новости. Админ, находит пользователя, открывает его список ролей и добавляет туда news_editor.

Если проверять на права только форму будет достаточно, то необходимость в дальнейших проверках отпадает (поставил permissions на папку, и все лежащие в ней файлы вдруг, словно сговорились, стали требовать аутентификацию)

Если все данные храняться в файлах, если используются системные аккаунты, то можно и так.
А если наши данные храняться в базе? Если у нас виртуальные пользователи, никак не связанные с системными аккаунтами? Тогда расстановка прав на папки просто не применима.

ACL же позволяет кодировать в стиле: "а есть ли у текущего пользователя право на открытие этой формы".

Ну и в нашем случае тоже стоит точно такой же вопрос:
if check_access(Form1{.RequireRole}, CurrentUser) then ... else ShowMessage('Фиг.');

Например твоя функция check_acces требует указания роли для проверки. А это означает что роль ты пишеш прямо в коде: вот эта вот фомочка будет требовать такую роль, а вот та сякую. Это хардкод.

Для особо ленивых можно например, вместо имени роли использовать имя класса формы:
if check_access(Form1.ClassName, CurrentUser) then ... else ShowMessage('Фиг');
Можно вообще использовать наследование форм, определить класс TSecuredForm, потомком от TForm, определить там пару методов

Код: Выделить всё

procedure TSecuredForm.CheckAccess(User);
begin
  Result := check_access(Self.ClassName, User);
end;

procedure TSecuredForm.RequireAccess(User);
begin
  if not check_access(Self.ClassName, User) then
    raise EAccessDeny.Create('У вас нет права на работу с формой ' + Self.Caption);
end;

function TSecuredForm.Execute: Integer;
begin
  RequireAccess( GetCurrentUser );
  Result := ShowModal;
end;


Но это уже вопросы реализации, которые могут отличаться для разных задач. А приницип один - определить связи между объектами права и субъектами. В случае описываемого вашего подхода, когда данные храняться в файлах и вы разраничиваете доступ настройками ACL, вы просто делегируете эту функцию операционной системе.

Что есть ACL - Access Control List? Фактически список доступа. Для каждого объекта права заводиться список "записей", каждая из которых говорит: "вот такому-то пользователю нужно дать право на такое-то действие над этим объектом". В случае использования ролей, такой список строиться простым запросом:
SELECT * FROM grants, roles, users WHERE grants.role_id = roles.role_id AND grants.user_id = users.user_id
AND roles.name = $roleName;
Этот запрос выдает список записей, который ровно тоже самое: "вот такому-то пользователю нужно дать право на такое-то действие над этим объектом"

Если нужно различать действия (например, read / write), то в таблицу grants можно добавить поле mask, которое будет задавать битовую маску - установлен в 1 - действие разрешается, сброшен в 0 - запрещается.

PS:
1. Если слово "роль" вас смущает, поменяйте его на слово "объект", "группа" и т.п.
2. Хм.. если есть "хардкод", то наверное должен быть и "софткод"...
Осюда вопросы: чем отличается хардкод, от софткода? чем мерять твердость кода? Эта мера непрерываная или дискретная?

[v-t-l]

Я тоже планирую использовать раздачу прав. Предполагаю, что непосредственно визуальная раздача прав будет производится в специальном административном режиме, при нажатии определенной комбинации клавиш, нужно определить, что за контрол находится под мышью и показать окошко для настройки ACL. Вот только не помню, как правильно получить локальные (относительно формы) координаты мыши.
А после писать в базу Control.Owner.Name+'.'+Control.Name и права доступа для определенного пользователя/роли(группы пользователей). Можно нормализовать: Control.Owner.Name+'.'+Control.Name в одну таблицу, права - в связанную, роли/пользователи - в третью.