Управление доступом
Права в системе назначаются на участников безопасности: роли и пользователей
Классическая система назначения прав предполагает, что один пользователь может состоять в произвольном количестве групп.
Выдавать права можно как разрешающие, так и запрещающие. При этом запрещающее правило имеет приоритет.
Права назначаются на дерево сущностей системы
Сами права назначаются как на сами сущности системы, так и на узловые элементы дерева (папки). Таким образом, для проверки прав доступа анализируются права, выданные всем ролям, в которые входит пользователь и права самого пользователя, которые были даны на сам документ или его вышестоящие элементы.
И работает это все… ОЧЕНЬ БЫСТРО!
Существует мандатная система доступа по признакам объектов
Кроме доступа к сущностям системы, можно разграничить доступ к конкретным документам.
Такие права работают немного медленней, зато позволяют очень точно настроить безопасность системы.