Цитата:
Сообщение от
fed
Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением. Или, точнее, не выразили явно, что применительно к RLS работают не только разрешения, но и запреты, отсюда и путаница в понимании механизма работы. В настройке прав по ключам доступа все вроде понятно - там есть лишь возможность разрешить доступ, потому и простая аддитивная модель тут замечательно работает. По-моему, в случае с RLS надо было обратиться к опыту разграничения прав платформы, на которой работает Аксапта, т.е. виндов: тут есть настройки прав, разрешающие доступ, и есть настройки, доступ
запрещающие, причем последние имеют приоритет. Т.е. для RLS имело смысл ввести новое понятие в модели безопасности, но тогда RLS, возможно, нельзя было бы настраивать с помощью простой настройки запросов.