phpGACL - система управления правами (русская документация)

[csa]

так как мне увидеть список правил для ACO? если это есть в доке - скажи где

-~{}~ 09.12.04 14:50:

да, и как можно реализовать наследование правил для ACO если они представляют из себя иерархию?

 

[kvf77]

ДОКУ ЧИТАЙ там все это написано и про наследование и так далее. Все - дискуссия окончена.

 

[csa]

отлично! просто исчерпывающий ответ!
поискал по "наслед", нашел только для ARO
реально про иерархию объектов (на которые действуют субъекты, буду использовать такие термины) написано только в разделе про AXO (костыль?). но про собственно наследование там нет ни слова.

-~{}~ 09.12.04 15:15:

это для тебя возможности гакла очевидны, а я про него первый раз слышу. ответов на свои вопросы я в доке сходу не нашел (возможно они и написаны там, но весьма не очевидно).

итого, ни одного толкового ответа

 

[kvf77]

Ты не задавал вопросов - ты говорил что вся система типа неправильная - так что тут большая разница в подходе. Если ты действительно интересуешься, то так и спрашивай. Пока я видел от тебя тока наезды AXO - это не костыль - это штатная функция. Стоило внимательно прочитать и ты наткнулся на AXO - прочитаешь еще раз 10 до всего остального дойдешь.

 

[csa]

Автор оригинала: kvf77
Ты не задавал вопросов

да ну? даже на это странице есть 2 вопроса

- ты говорил что вся система типа неправильная

где я такое сказал? я говорил что мне для счастья нужно то-то и то-то
потом попытался выяснить, как этого можно добится

Если ты действительно интересуешься, то так и спрашивай.

как мне увидеть список правил для ACO?
а точнее, как это будет выглядеть в случае "неоднозначность устранена способом 2". я хочу предоставить пользователю интерфейс для работы с правилами конкретного объекта (не субъекта)

AXO - это не костыль - это штатная функция.

описание ее выглядит как костыль, придуманный после попыток прицепить гакл на дерево объектов. как я понимаю, это и есть способ реализации наследования, но в свете вышесказанного... осадок остался (С)
ничего личного

-~{}~ 09.12.04 15:53:

насчет AXO - по моему, это лишний слой, усложняющий систему..
для пользователя это скорее всего не будет заметно, но вот программеру придется попариться

хотя, может он так выглядит из-за того, что изначально рассматривают ACO, который потом заменяется AXO, а ACO обретает другой смысл.. в общем, как-то замороченно все

 

[kvf77]

Не знаю, на мой взгляд система очень гибкая и профессиональная. Она позволяет реализовать большинство (если не все) варианты управления. И гемора для программиста никакого нет - там функции не требуют горы параметров, а сделаны достаточно лаконично. Я думаю, что ты просто спрашиваешь, вместо того, чтобы детально посидеть и проследить все примеры доки. Ты никак не можешь избавиться от своего взгляда со стороны АСО, который в этой системе не поддерживается. А AXO - это не костыль - а именно интеерсная возможность. Она появляется только тогда, когда есть действительно много нелинейных объектов - в обычном же случаев, в частности, с твоим Васе, AXO вовсе не нужны. Как я уже тебе много раз говорил - в подходе гакла тебе незачем знать какие правила есть для конкретного АСО - не понимаю че ты до этого докопался? Вместо того чтобы смотреть на все под углом данной системы ты зачем-то пытаешься все перевернуть и заставить систему смотреть на вещи под таким углом, для которого система не предназначена.
Как я уже сказал - ты права должен предоставлять субъекту а не объекту. Зачем ты применяешь грузовик в качестве экскаватора? До тебя так и не дошло, что система смотрит на мир подругому, нет ты продолжаешь твердить свое. Если ты хочешь делать так как написал - возьми другую систему, или учись думать в рамках phpGACL.

 

[csa]

не умеет, так не умеет, спасибо, что наконец-то сказал.
насчет того, с чьей стороны смотреть, думаю, надо дать возможность смотреть и от субъектов и от объектов, зачем - я уже говорил, опровергни, если считаешь что это не нужно. пока кроме криков "нах" ни одного аргумента не было.

опять же уточню: я говорю про

-~{}~ 09.12.04 16:11:

блин, нажал отправить

уточню: я говорю про _правила доступа к объекту_ а не про _права субъекта_. разницу видишь?

а вообще, gacl больше походит на распределение ролей, а не ACL

 

[kvf77]

Она не неумеет, сколько тебе объяснять, она для другого предназначена онаи НЕ ДОЛЖНА уметь. Вот эту разницу я тебе челый день объяснял. Зачем тебе возможность смотреть со стороны ACO я так и не понял. Тем более, если учесть что возможность смотреть со стороны ARO полностью достаточно. Ты не объяснил зачем это нужно. Я любую задачу решаю без рассмотрения со стороны ACO - потому и говорю тебе конкретно - ЗАЧЕМ тебе смотреть на вещи со стороны ACO? Ты отвечаешь - потому что хочу - а зачем не важно.

 

[csa]

Автор оригинала: kvf77
ЗАЧЕМ тебе смотреть на вещи со стороны ACO? Ты отвечаешь - потому что хочу - а зачем не важно.

нет, ты определенно не видишь того, что я тебе пишу

Автор оригинала: csa
я хочу видеть правила, которые будут ограничивать доступ к объекту и больше ничего.

Автор оригинала: csa
когда правила меняются (а не задаются статично один раз), полезно знать состояние дел, а для этого как правило применяют детализирование, чем и является получение списка правил, относящихся к заданному ACO

будь так добер, прокомментируй вот это:

Автор оригинала: csa
а может ты предлагаешь смотреть на все это нефиговое дерево с парой десятков групп и сотней-другой твоих ACO и выискивать среди них все, что относится к машзалу?

-~{}~ 09.12.04 16:22:

Автор оригинала: kvf77
Ты никак не можешь избавиться от своего взгляда со стороны АСО, который в этой системе не поддерживается.

я смотрю так, как мне навязывают вышеупомянутые системы unix (posix acl), windows (ntfs)
надо сказать, что пока меня этот подход вполне устраивает

 

[kvf77]

уф - я комментировал уже это - мне просто нет необходимости смотреть кто имеет доступ к машинному залу - мне достаточно смотреть на пользователя конкретного. вот и все - это просто - ты всегда работаешь с пользователем - добавляешь его или удаляешь и так далее. мне не надо знать что там в машинном зале. ты хочешь чтобы я придумал искусственную ситуацию? я не вижу в этом необходимости. ты лучше скажи - ты на практике все это проделывал или просто сидишь и фантазируешь на тему?

 

[csa]

хотя, ролевой подход тоже, похоже, неплохая вещь. для меня gacl на данный момент выглядит как ролевая модель (хотя он таковым быть не хочет ), частично прикрученный к ACL

 

[kvf77]

то что тебя этот подход устраивает не значит что он единственный вот и все. так и не понял чего ты мне пытаешься доказать?

-~{}~ 09.12.04 16:26:

если у меня в системе 1000 пользователей и каждый имеет доступ, скажем, к новостям - то извини, информация о том, что 1000 челов имеет доступ к новостям мне нафиг не нужна. Но вот когда Васе я хочу запретить доступ к новостям - я смотрю на Васю и вижу что и куда, а потом запрещаю, разрешаю. Зачем мне смотреть на все со стороны Новости? Я вот ломаю голову и никак не пойму.

 

[csa]

Автор оригинала: kvf77
мне не надо знать что там в машинном зале.

а мне - надо, надо знать, что вот этим 2-м юзерам нет доступа к ДАННОМУ объекту. если я буду засовывать их в отдельную группу а потом еще выискивать неоднозначности, которые вылезают из-за того, что они входят в группу, доступ которой к ДАННОМУ разрешен, но при этом этой группе разрешен доступ еще к 20 объектам, я просто сдохну.
и здесь, как раз, помог бы отказ от принудительного отлова неоднозначностей

Автор оригинала: kvf77
ты лучше скажи - ты на практике все это проделывал или просто сидишь и фантазируешь на тему?

тебе дать доступ в тестовую систему?
тогда прошу в приват

 

[kvf77]

Если тебе постоянно приходится назначать права не группам, а конкретному пользователю, значит у тебя неправильно спроектированы группы. И тут уж не поможет никакой взгляд на группы, потому что ты запутаешься и в той системе. У меня есть система где очень большое кол-во объектов - намного больше чем пользователей - при твоем взгляде ты бы не повесился а застрелиться

 

[csa]

Автор оригинала: kvf77
то что тебя этот подход устраивает не значит что он единственный вот и все. так и не понял чего ты мне пытаешься доказать?

я пытаюсь показать тебе, как сделать его более гибким

информация о том, что 1000 челов имеет доступ к новостям мне нафиг не нужна.

засунь их в группу и разреши доступ группе. если надо - разреши перенос на потомков

Зачем мне смотреть на все со стороны Новости?

я смотрю на новости, и вижу, что к ним имеет досту группа news_readers
а ты предлагаешь ознакомиться со всем списком порноразделов, куда допущен вася. НАХ!

 

[kvf77]

Не - просто финиш. Я не собираюсь смотреть все разделы Васи - я спрошу конкретно - имеет ли Вася доступ к новостям - вот и все. Думать будем?

 

[csa]

Автор оригинала: kvf77
Если тебе постоянно приходится назначать права не группам, а конкретному пользователю, значит у тебя неправильно спроектированы группы.

мне нужно иметь возможность при необходимости уточнить правила

У меня есть система где очень большое кол-во объектов - намного больше чем пользователей - при твоем взгляде ты бы не повесился а застрелиться

ну-ка, ну-ка! поподробнее отсюда, как ты ими рулишь? этого я от тебя все никак добиться не могу

-~{}~ 09.12.04 16:39:

Автор оригинала: kvf77
Не - просто финиш. Я не собираюсь смотреть все разделы Васи - я спрошу конкретно - имеет ли Вася доступ к новостям - вот и все. Думать будем?

для "только вася в новостях" сойдет, не сомневался, что это есть
ладно, скажем так - хочу отредактировать правила для новостей - котого грохнуть, кому-то поменять - у меня новости поменяли направление и стали платными.. ну не важно. мне УДОБНЕЕ увидеть весь список (и для контроля в частности, вдруг что пропустил)

 

[kvf77]

Я объектами не рулю - я рулю пользователями. Носвость она и в африке новость, она себе лежит и не бибикает. А вот Вася, который в прошлый раз напакостил, написав какую-то чуть в новости, меня волнует - я его забанил для создания новостей. И теперь все оки. И понимаешь - я могу забыть про Васб навсегда. Потому что если вдруг Васе очень приспичет и он мне напишет и попросит - и - о чудо! - мне не надо смотреть на новость - мне надо просто Васе, при наличии серьезных аргументов с его стороны, просто разрешить писать нвости. Скажи мне что в моем высказывании не так? Я вот не вижу проблемы - а ты помоему видишь.

-~{}~ 09.12.04 16:42:

Приятнутый зауши пример у тебя получился. Потому что у тебя есть толпа ньюсреадеров - ты им поменяешь права - зачем тебе знать о новости? Заходим в ньюсреадеры и выбираем кому оставить права кому нет и все такое. Ты долго еще будешь мне голову морочить?

 

[csa]

да что за емое!
ты как проверять будешь, кто у тебя доступ к новостям имеет?!

-~{}~ 09.12.04 16:45:

спроектировать грамотно группы не всегда возможно хотя бы по соображениям временных затрат
плюс для этого нужна квалификация, чистый acl тут сильно проще

 

[kvf77]

Милый, NEWS_READER - зайди в словарик почитай буквальный перевод пожалуйста. Если у тебя, конечно Лифтеры, вместо news_readers, то оно конечно - фиг найдешь. Плюс - отражаю тебе твое высказывание: типа нет необходимости указывать права для каждого человека в системе для новости, они наследуются. Обясни это высказывание применительно к своей системе и объясни почему оно не работает (а оно работает) на phpGACL?