一个角色同时拥有管理员和用户的权限是否合理？

[已解决问题] 解决于 2018-07-01 14:29

探讨下下面这个例子：

1.背景：

一个系统面向2个对象，有下面这些权限

用户：可以支付账单，可以申请开发票，可以申请退款

管理员：可以同意申请并给用户开发票，可以同意并给用户退款

2.疑问：

当一个角色可以同时做用户和管理员的事，这样的设计是否合理？

3.附加：

一般来说，一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险？

角色权限安全数据库设计程序员

Horsen | 菜鸟二级 | 园豆：202
提问于：2018-07-01 10:48

< >

最佳答案

一个用户可以拥有多个角色,但是使用一个角色去这样分配权限是不合理的;我认为普通用户是一个角色,管理员也是一个角色

奖励园豆：5

开心朵朵 | 菜鸟二级 |园豆：244 | 2018-07-01 11:20

我甚至很想得到一个结论，90%的情况是不是都不应该有这样的设计，因为当一个账号同时拥有管理员和用户的能力，那就有很大情况做到自导自演，去做一些不合理的事，也就是我3中提的问题。

Horsen | 园豆：202 (菜鸟二级) | 2018-07-01 11:50

其他回答(2)

当然合理了.有什么好不合理的.

吴瑞祥 | 园豆：29449 (高人七级) | 2018-07-01 11:35

1.仅仅上述例子来说好了，那我付款，要发票，然后就退款，由于我拥有所有权限，那我随便操作，然后空手套白狼就拿到一张发票。请问这合理在哪？

2.管理员的权限和用户的权限都可以同时拥有，一个管理员可以去干用户干的事情，我在淘宝购物了，我不退货还要退款，我自己给自己同意，这合理在哪？

支持(0) 反对(0) Horsen | 园豆：202 (菜鸟二级) | 2018-07-01 11:44

@Horsen: 这些是不是都是管理员分配的.

如果管理员这么分配了,自然有他的现实原因,问题也不是系统允许他拥有2个权限.

问题是管理员要这么分配.

你想的这些完全没有任何意义.因为你不能决定管理员怎么使用你的系统.

如果以这种逻辑.那所有的权限都要设置到具体的某一个人.用指纹做鉴定.

支持(0) 反对(0) 吴瑞祥 | 园豆：29449 (高人七级) | 2018-07-01 13:20

@吴瑞祥:

1.首先感谢您的回答，但是您在说的是啥？您回答的和我探讨的距离感有点大。

2.我在讨论的就是允不允许管理员有这种操作，都会产生我探讨的情况了我还

3.我的逻辑或者说我问题的主题是：如果一个角色同时拥有管理员和用户的权限，这样的设计是否合理，您是怎么从我提问的内容得到“所有权限都要设置到具体的某一个人”这个结论的。-_-||

支持(0) 反对(1) Horsen | 园豆：202 (菜鸟二级) | 2018-07-01 14:27

只要是实际需求都是合理的。

花飘水流兮 | 园豆：13560 (专家六级) | 2018-07-01 14:25

只是和大家交流交流，在其他平台也得到挺好的回答，再次谢谢大家的回答

支持(0) 反对(0) Horsen | 园豆：202 (菜鸟二级) | 2018-07-01 14:29

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。