Управление доступом

Управление доступом

Права в системе назначаются на участников безопасности: роли и пользователей

Классическая система назначения прав предполагает, что один пользователь может состоять в произвольном количестве групп.
Выдавать права можно как разрешающие, так и запрещающие. При этом запрещающее правило имеет приоритет.

Права назначаются на дерево сущностей системы

Сами  права назначаются как на сами сущности системы, так и на узловые элементы дерева (папки). Таким образом, для проверки прав доступа анализируются права, выданные всем ролям, в которые входит пользователь и права самого пользователя, которые были даны на сам документ или его вышестоящие элементы.
И работает это все… ОЧЕНЬ БЫСТРО!

Существует мандатная система доступа по признакам объектов

Кроме доступа к сущностям системы, можно разграничить доступ к конкретным документам.
Такие права работают немного медленней, зато позволяют очень точно настроить безопасность системы.