Sembra che in RBAC, un Soggetto crei una Sessione con un ruolo / i attivo / i, questi ruoli vengono quindi usati per determinare quali permessi e azioni possono essere presi. Questo sembra andare bene per la maggior parte della nostra organizzazione fino a raggiungere Soggetti con il ruolo del cliente. I clienti dovrebbero essere in grado di leggere solo le cose che possiedono, al contrario di altri ruoli che avrebbero letto / scritto (o qualsiasi altra cosa) su cose dello stesso tipo.
Non sono sicuro del modo migliore per implementarlo utilizzando RBAC. La sessione dovrebbe contenere anche l'oggetto? Alcuni riferimenti suggeriscono no.
Nota: è possibile che io sia troppo purista, ma sto controllando per vedere cosa mi manca. Ho considerato la rotta di PostgreSQL dove un utente è un ruolo, e quindi il ruolo attivo nella sessione è l'utente. Quali sono le opzioni per limitare un ruolo solo a visualizzare le cose non per tipo ma per proprietà?