Rollen und Rechte

Owned by Dirk Münker
Last updated: März 11, 2024 by Sebastian Schulz
2 min read

Benutzern können keine individuellen Berechtigungen erteilt werden. Brandbox enthält eine Reihe von Standard-Autorisierungen. Der Systemadministrator enthält globale (organisationsweite) Berechtigungen und kann nicht geändert werden - d. H. Sie können keine Berechtigungen hinzufügen oder daraus entfernen. Wenn Sie jedoch benutzerdefinierte Berechtigungen benötigen, können Sie eine zusätzliche Autorisierung erstellen. Einem Benutzer kann eine Rolle zugewiesen werden, die über Autorisierungen verfügt (siehe Zugangskontrollsysteme RBAC).

Benutzergruppen

Wenn Benutzergruppen verwendet werden, gehört ein Benutzer einer oder mehreren Gruppen an und diesen Gruppen werden wiederum Rollen (und damit Autorisierungen) zugeordnet. Der Benutzer selbst kann dabei auch Rollen (und damit Autorisierungen) zugeordnet bekommen. Bei der Rechteprüfung spielt es dann keine Rolle mehr ob das Recht dem Benutzer zugeordnet wurde oder ob es über die Gruppe kam. Wenn eine Gruppe den Datensatz "XYZ" lesen und ändern darf, kann der Benutzer entweder dieser Gruppe angehören um das Recht zu bekommen, oder das Recht wird dem Benutzer direkt zugewiesen. Das Ergebnis ist identisch, sodass Gruppen lediglich ein Hilfsmittel bei der Systemadministration sind. In dem Diagramm wird nochmal der Zusammenhang zwischen Benutzern, Gruppen und Rechten verdeutlicht.

Rollen

Die Rolle entspricht einer tatsächlich Funktion, das heißt z.B. Kassierer, Revisor, Kunde. Die Rolle entspricht also im Idealfall der tatsächlichen Rolle des Benutzers (im echten Leben). Das ist hauptsächlich ideologisch zu betrachten, da eine Gruppe genauso dazu benutzt werden könnte und oft auch so benutzt wird. Ein großer Unterschied zu Gruppen ist jedoch, dass jetzt nur noch der Rolle Rechte zugewiesen werden, und dem Benutzer nur noch Rollen. Eine Zuweisung von Rechten an der Rolle vorbei ist nicht möglich. 

Tokens

In vielen Fällen reicht dieses Modell nicht aus, da es Autorisierungen gibt, welche eine Person nicht gemeinsam mit einer anderen Person haben darf, obwohl sie die gleiche Rolle inne haben. Beispielsweise darf ein anonymer Shop-Anwender nicht Zugriff auf den Warenkorb eines anderen Shop-Anwenders erlangen. Es wurde also noch eine weitere Komponente eingefügt: Die Sitzung (Session). Je Session wird ein Token erzeugt, dem automatisch die Rollen vom Typ „Token-Schema“ zugewiesen werden.

Quelle

https://www.mwiesner.com/2008/03/rollen-sind-keine-gruppen.html