为 Web 应用程序开发访问控制,我们采用了 RBAC。基于哪个页面和操作应该具有分配的权限,以检查当前用户作为物理组件的可访问性,但是这种方法在具有数据级访问权限时可能会导致权限冲突,或者例如在具有动态分配的权限时工作流等权限。
例如一个任何人都可以访问的任务列表页面,只要用户没有访问任何任务的权限,就不会显示任何内容,这种情况下仍然建议限制对页面本身的访问基于角色?同样的问题也适用于任务详细信息页面本身。如果我们添加了 RBAC 限制,那么我们将需要通过优先考虑数据访问规则或在运行时频繁更改 RBAC 来添加特定逻辑,这是不值得的努力!
接下来的问题是:只要特定页面完全受数据访问控制,我们是否可以免除物理访问限制?或者我们必须离开两者并处理它!?