{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','https://www.manongdao.com/data/attach/logo/logo.png', '推荐 Ridiculous、 的问题《一个角色同时拥有管理员和用户的权限是否合理?》','https://www.manongdao.com/q-22986.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
探讨下下面这个例子:
1.背景:
一个系统面向2个对象,有下面这些权限
用户:可以支付账单,可以申请开发票,可以申请退款
管理员:可以同意申请并给用户开发票,可以同意并给用户退款
2.疑问:
当一个角色可以同时做用户和管理员的事,这样的设计是否合理?
3.附加:
一般来说,一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险?
探讨下下面这个例子:
1.背景:
一个系统面向2个对象,有下面这些权限
用户:可以支付账单,可以申请开发票,可以申请退款
管理员:可以同意申请并给用户开发票,可以同意并给用户退款
2.疑问:
当一个角色可以同时做用户和管理员的事,这样的设计是否合理?
3.附加:
一般来说,一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险?
只要是实际需求都是合理的。
当然合理了.有什么好不合理的.
一个用户可以拥有多个角色,但是使用一个角色去这样分配权限是不合理的;我认为普通用户是一个角色,管理员也是一个角色