La mia applicazione ha utenti e amministratori. Gli amministratori si dividono in due: super-amministratore e amministratore limitato. Il super ottiene tutte le autorizzazioni mentre il limitato può essere configurato per ereditare solo le autorizzazioni di amministratore che sono specificamente necessarie.
Sto pensando di definire i miei permessi nel seguente modo. Qualsiasi autorizzazione utente ha un permesso di amministratore:
Utente:
- post_create
- post_update
- post_delete
Amministratore:
- administrator_post_create
- administrator_post_update
- administrator_post_delete
È un buon approccio? Dovrei piuttosto assegnare a un amministratore tutte le autorizzazioni degli utenti e poi un altro come "administrator_post_manage_all" che ignora il controllo della proprietà e consente a un amministratore di apportare modifiche?
Modifica
Le seguenti regole devono essere soddisfatte:
Solo alcuni utenti possono creare, aggiornare, eliminare post; tuttavia, devono essere i proprietari del post da aggiornare, eliminare. Ogni utente dell'applicazione dovrebbe essere in grado di leggere i post. I miei amministratori dovrebbero essere in grado di aggiornare ed eliminare i post di qualsiasi utente.