Один пользователь, две группы пользователей, доступ первой группы разрешен, доступ второй группы запрещен, как разрешить конфликт?

В Принцип наименьших привилегий говорится, что наилучшей практикой является обеспечение того, чтобы состояние по умолчанию было отрицательным. доступ. Систему прав пользователей следует использовать для добавления прав доступа группам, которым это необходимо. При минимальных привилегиях никогда не должно быть необходимости запрещать доступ.

Конечно, несмотря на то, что им очень сложно управлять, иногда возможность применять разрешения на запрет также является прагматически полезной. Чтобы быть полезным, запрет должен быть сильнее разрешения.

Конфликт разрешается путем определения (и применения) правил.

В большинстве случаев я определяю только разрешения. Итак, как только пользователь находится в одной из групп, где разрешен доступ, доступ разрешен.

Но вы можете определить правило, утверждающее, что запрет сильнее, чем разрешение, чтобы после обнаружения запрета применялся запрет, даже если другие группы разрешают доступ. Все зависит от ваших правил.

Если у вас есть сочетание предоставления и отказа в разрешениях, я бы предпочел, чтобы отказ имел больший вес, чем предоставление. В этом случае конфликт в вашем вопросе приведет к тому, что пользователю будет отказано в доступе.

Однако, если возможно, я бы выбрал систему, в которой вы либо предоставляете разрешения, либо отказываете в разрешениях, но не и то, и другое. Я полагаю, что начать с минимального набора разрешений по умолчанию и предоставить определенные разрешения пользователям и/или группам было бы проще всего понять для многих пользователей.