控制器和操作上的多个授权角色或用户的多个角色？

Question

我正在尝试提出有关如何为我的控制器和操作设置角色的最佳实践。

我们在办公室进行辩论。我们是否应该为用户提供一个角色，并用一个或多个角色来装饰我们的控制器和操作，或者反之亦然，为一个用户提供多个角色，并用所需的最小访问角色来装饰控制器/操作？

Answer 1

根据我的经验，最好允许用户承担多个角色。这是最灵活的方法，它将避免系统中角色数量的激增，因为不同的人通常在组织内担任不同的职务。这也简化了您的控制器/操作，因为您最多只需要一个角色。

Answer 2

我认为这完全取决于您希望用户做什么。担任管理员角色的人是否只能执行管理员类型的操作或所有操作？

我们遇到了类似的问题，我们决定采用 4 个不同的角色，并根据用户需要访问的内容为他们分配多个角色。