Есть одно правило назначения ролей пользователей, которое выработано эмпирически и скорее обосновано чутьём.
Нельзя делать запреты пользователям с определенными ролями.
Т.е. если мы хотим запретить пользователю редактировать некий справочник, это ошибка.
Мы должны сделать роль, которая позволяет редактировать этот справочник, а у остальных ролей этого права не давать.
Почему так?
Дело в том, что запреты очень сложно контролировать. Сложнее, чем объединение ролей.
Например, есть пользователь с достаточно большим диапазоном прав, в том числе он может и этот справочник редактировать. Так вот, ему дают дополнительно эту роль и всё – он теряет право редактировать справочник. Хотя раньше мог.
Такие парадоксы всё равно придется разруливать на уровне расщепления ролей, так что лучше не начинать.
Journal information