一个角色同时拥有管理员和用户的权限是否合理?
探讨下下面这个例子:
1.背景:
一个系统面向2个对象,有下面这些权限
用户:可以支付账单,可以申请开发票,可以申请退款
管理员:可以同意申请并给用户开发票,可以同意并给用户退款
2.疑问:
当一个角色可以同时做用户和管理员的事,这样的设计是否合理?
3.附加:
一般来说,一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
如果只有管理员和用户两个身份,这样确实不合理。
一个角色同一时间是用户和管理员,这样管理员的权限太大了,一般不这么设计,类似于购物网上卖家和买家不能同一时间一个角色。
可以考虑增加一个对象,超级管理员:拥有所有权限,但仅有1个。而普通的管理员则继承超级管理员的部分能力(与用户功能分离,且不能对管理员进行操作)