![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Oct. 19th, 2009
мысли вслух про permissions
Oct. 19th, 2009 03:05 pmну в общем так:
обьект вида {value: (“data”, [(“childrenName”:{object})]), permissions: [(”identity”,”kind”,”A/D”)], owner: “identity”}
permission kinds: read value, write value, read permissions, write permissions, read owner, write owner
identities: (username), (user->groupname), (owner), (all)
процесс проверки пермишнов:
спускаемся от корня, накапливая dictionary (identity->permission->allow/deny), при этом allow/deny не имеют особого приоритета друг над другом, кто ниже - тот и выиграл. наличие deny равнозначно отсутствию allow, если хоть в одной группе, к которым принадлежит юзер, есть allow, то разрешение выдается.
при изменении value - owner не меняется, при создании owner наследуется от корня. меняется owner явным образом.
да, можно удалять подобьект обьекта, которым ты владеешь, даже если ты не владеешь никакими правами на него. Но нельзя читать, изменять или изменять права :)
user->groupname символизирует то, что группы всегда создаются пользователями
UPD: наверное стоит поменять пермишны на "allow/deny/inherit" и разрешать если есть хоть один allow и нету ни одного deny, это более традиционно
(no subject)
Oct. 19th, 2009 03:17 pm…Как только мы переходим к практическому применению данной фичи, стройная теория теряет радужные тона и довольно быстро сваливается в вонючую помойку под названием "как обычно".
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif){kind=small}