Эксперименты с RBAC

меня бесят такие каменты про амперсанды, про "горизонт завален", про коней и говно. про что угодно кроме темы.

Никто не сказал, что нихуя не понял потому что не знает о чем речь. Лучше поздно, чем никогда.
Источник: http://www.ict.nsc.ru/ws/YM2003/6299/

Основная идея ролевой модели контроля за доступом (Role-Based Access Control - RBAC) основана на максимальном приближении логики работы системы к реальному разделению функций персонала в организации.

Ролевой метод управления доступом контролирует доступ пользователей к информации на основе типов их активностей в системе. Применение данного метода подразумевает определение ролей в системе. Понятие роль можно определить как совокупность действий и обязанностей, связанных с определенным видом деятельности. Таким образом, вместо того, чтобы указывать все типы доступа для каждого пользователя к каждому объекту, достаточно указать тип доступа к объектам для роли. А пользователям, в свою очередь, указать их роли. Пользователь, "выполняющий" роль, имеет доступ определенный для роли.

Вообще говоря, пользователь может выполнять различные роли в разных ситуациях. Одна и та же роль может использоваться несколькими различными пользователями, причем иногда даже одновременно. В некоторых системах пользователю разрешается выполнять несколько ролей одновременно, в других есть ограничение на одну или несколько не противоречащих друг другу ролей в каждый момент времени.

Основными достоинствами ролевой модели управления доступом являются:
- Простота администрирования
- Иерархия ролей
- Принцип наименьшей привилегии
- Разделение обязанностей

Кое что про RBAC из мира PHP: The Definite Guide to Yii

Основным понятием в RBAC Yii является элемент авторизации. Элемент авторизации — это права на выполнение какого-либо действия (создать новую запись в блоге, управление пользователями). В зависимости от структуры и цели, элементы авторизации могут быть разделены на операции, задачи и роли. Роль состоит из задач. Задача состоит из операций.
…
Используя элементы авторизации мы можем построить иерархию авторизации. Элемент A — предок B в иерархии если A состоит из B (A наследует права, представленные в B). Элемент может иметь несколько потомков и несколько предков. Поэтому иерархия авторизации является скорее частично упорядоченным графом, чем деревом. В ней роли находятся на верхних уровнях, операции — на нижних. Посередине расположены задачи.

После построения иерархии авторизации мы можем назначать роли из неё пользователям нашего приложения. Пользователь получает все права роли, которая ему назначена.

В Yii используется оптимистическое правило:

Если ни одно из правил не совпало — действие может быть выполнено.

Вообщето это плохо сочетается с принципом минимальных привилегий, когда пользователь получает только те права, которые ему явно даны (через делегированные роли).