организация таблиц

Здравствуйте!Столкнулся с проблемой.Есть пользователи.У них есть привилегии.Я так понимаю нужно создать таблицу users_privileges.Далее у некоторых привилегий есть исключения.Опишу детальнее.Например Есть привилегия просматривать фид событий на сайте.Если эта опция == 0, то фид не выводится.Если == 1, выводится.Фид выводится примерно в таком формате:
Пользователь Сергей добавил фото к объекту Новостройка на Мосфильмовской.
Пользователь Игорь прокомментировал объект Воркаут площадка
Нужно например реализовать так, что фид пользователя 'Игорь' защищен от просмотра.
Это еще не все.Также нужно сделать что бы и фид объектов был защищен от просмотра.
И таких вариантов может быть очень много.Например есть привилегия назначать пользователей на должности, но некоторые должности или пользователи защищены от этой привилегии.Как можно организовать структуру таблиц в этом случае?
Думал сделать так:
Сделать таблицу users_privileges и в ней поле aditional_data сериализованный массив, куда записывается дополнительные условия

-----
$i = 0;
$i = $i++ + ++$i; ?

Мысли стандартные. Есть несколько разных вариантов реализации ACL. Списки доступа, роли и т.п. В Zend ACL реализованы списки доступа к ресурсам.
На примере ролей: есть сущность "действие", есть сущность "роль", есть сущность "пользователь". Пользователи обладают набором ролей, каждая из ролей имеет набор действий (то есть тех действий, которые разрешаются данной ролью). Пользователь может выполнять действие тогда и только тогда, когда оно присутствует в списке действий хотя бы одной из назначенной ему ролей.
С точки зрения БД получается 5 таблиц: permissions (действия), roles (роли), users (пользователи), roles_permissions (список действий для ролей, таблица-связка), users_roles (список ролей для пользователей, таблица-связка).

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Спасибо!Сейчас посмотрю инфу по этой теме.
(Добавление)


Например есть роль manager и роль director у manager есть привилегия редактирования аккаунта.Как ограничить director от редактирования его аккаунта?

-----
$i = 0;
$i = $i++ + ++$i; ?

Ввести разные действия (привилегии). Первое - редактирование своей учётной записи, второе - редактирование всех учётных записей, кроме своей. И соответственно проверять в приложении.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

А если приложение требует очень глубокой кастомизации.Например старший менеджер назначает менеджеру привилегию редактировать аккаунты, но при этом как дополнительно есть список должностей (ролей) которые может отметить старший менеджер закрывая таким образом доступ к аккаунтам выбранным в списке.Получается на каждую роль нужно создавать привилегию?

-----
$i = 0;
$i = $i++ + ++$i; ?

Нет, зачем же так. Ввести роль "защищённый пользователь". И не давать редактировать профили пользователей, которые обладают этой ролью - никому, кроме тех, кто добавлял пользователя или администратора (это я вариант привожу, как у Вас по бизнес логике - сами решите).

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

такие хитромудрые policy не только сложно реализуемы но и бесполезны. Мало к то из юзеров будет со всем этим возится.
яркий пример права доступа в виндовс - доступ к объектам с иерархией наследованием, правами на различные действия и т.д. Я уже не говорю про доменную организацию.
и кто это использует? максимум какой то админ закроет какую то папку или поставит только чтение.

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Например - это приложение подразумевающее управление персоналом.
А если в ТЗ будет описан такой функционал, что мне говорить заказчику?Что в виндовсе правами никто не пользуется и нам не стоит?

(Отредактировано автором: 11 Июня, 2013 - 20:20:35)

-----
$i = 0;
$i = $i++ + ++$i; ?

так пусть он сначалу будет описан - тогда можно выставить соответсвующую сумму за такое ТЗ. Пока что вы сами придумываете себе проблеммы.

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Я не согласен.В любом случае это послужит толчком к развитию меня как архитектора бд.

-----
$i = 0;
$i = $i++ + ++$i; ?

естественно. Но как говорится ничто так не примиряет с реальностью как сама реальность.


Не послужит - хотя бы потому что в реализации подобных вещей организация таблиц не самая большая проблемма.

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Вот поэтому и создал здесь эту тему.Что бы можно было перенять опыт от старших и поделиться с младшими.

(Отредактировано автором: 11 Июня, 2013 - 20:57:08)

-----
$i = 0;
$i = $i++ + ++$i; ?

А как быть например с защитой некоторых объектов от редактирования, защитой просмотров фида пользователей, защитой редактирования некоторых должностей?Здесь уже не создашь сущность действие.

-----
$i = 0;
$i = $i++ + ++$i; ?