探讨下下面这个例子:
1.背景:
一个系统面向2个对象,有下面这些权限
用户:可以支付账单,可以申请开发票,可以申请退款
管理员:可以同意申请并给用户开发票,可以同意并给用户退款
2.疑问:
当一个角色可以同时做用户和管理员的事,这样的设计是否合理?
3.附加:
一般来说,一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险?
探讨下下面这个例子:
1.背景:
一个系统面向2个对象,有下面这些权限
用户:可以支付账单,可以申请开发票,可以申请退款
管理员:可以同意申请并给用户开发票,可以同意并给用户退款
2.疑问:
当一个角色可以同时做用户和管理员的事,这样的设计是否合理?
3.附加:
一般来说,一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险?
1 回答822 阅读✓ 已解决
1 回答750 阅读
1 回答697 阅读
1 回答1.5k 阅读
如果只有管理员和用户两个身份,这样确实不合理。
一个角色同一时间是用户和管理员,这样管理员的权限太大了,一般不这么设计,类似于购物网上卖家和买家不能同一时间一个角色。
可以考虑增加一个对象,超级管理员:拥有所有权限,但仅有1个。而普通的管理员则继承超级管理员的部分能力(与用户功能分离,且不能对管理员进行操作)