Клиент системы имеет следуюшие права:
  1. Редактировать список своих магазинов
  2. Создавать торговые заказы
  3. Иметь доступ к отчетам о состоянии торговых заказов в пределах своих магазинов

Last edited Mar 15, 2012 at 2:15 AM by ban, version 1

Comments

SlyunkovArtem May 3, 2012 at 3:33 PM 
Предлагаю пересмотреть возможности клиена на следующие:
1. Редактировать частично совю информацию и информацию сових магазинов (к примеру, номера телефонов, почту и т.д.).
Считаю не правильным позволить клиенту менять почтовый адрес магазина, так как данная информация нужна для дальнейшей работы логистов (для обеспечения доставки в магазин).
2. Создавать торговые заказы, только через магазинов (к примеру при создании заказа, обязательное требование - указать магазин)
3. Доступ к отчетам, которых может быть несколько:
- все заказы за выбранный период (их состояние)
- все оплаты за выбранный период (их состояние)
- акт сверки
- что-то еще...

ban Apr 22, 2012 at 2:27 AM 
Предлагаю дискуссию перенести из раздела документация в Discussions.
Насчет DMZ, у меня сейчас один проект зарезали именно в такой конфигурации. Бизнес не вписался в такую модель :). Хотя все было сделано по уму, как ты и написал.
Еще раз замечу - SalesOrders будет готов через неделю, как ты и просил. Надеюсь ваш бизнес впишется в эту модель

avs123 Apr 21, 2012 at 9:44 PM 
Я не говорю про опыт 10-ти летней давности, я говорю про 10 лет по сей день. Покажи мне хоть одно приложение и хоть одну компанию, где посторонних людей пускают во внутреннюю систему предприятия, внутреннюю сеть предприятия, на внутренние ресурсы предприятия?!
Да я не спорю о безопасности построенной на основе role-based, но для пользователей-сотрудников данного предприятия. Иначе зачем существуют такая вещь как DMZ? И MS много чего продвигает, но вряд-ли пускает посторонних на свои ВНУТРЕННИЕ ресурсы ограничив им права ролью.

ban Apr 21, 2012 at 3:04 PM 
Можно долго спорить, но суть от этого не меняется. Клиенту нужен доступ к приложению в любом случае.
Роль - это ключевой элемент безопасности, она определяет права. Зачем писать приложение на каждую роль? Если очень хочется, одно и тоже приложение можно продеплоить в разные зоны безопаснисти, с разными ролями.
Более того, если написать другое приложение с урезаными функционалом, то и там будет Администратор и клиент. И там админ тоже может накосячить и дать права клиенту. Получается противоречие :).
Если следовать этой логике, то нужно запретить модель multi-tenant, которую MS активно продвигает в Azure. Также нужно запретить размещение на одном сервере нескольких баз данных, сделать физическое разграничение сетей, компьютеров и так далее.
В IT все меняется быстро, в том числе предстовления о безопасности. 10-летний опыт штука классная, но устаревает каждые 5 лет.
Современная безопастость приложений строится на основе 2-х пастулатов: role-based и claim-based
Я не хочу спорить о том как ломают сайты, это все демагогия. Но убедительных объективных причин для разделения приложения на 2 части пока не вижу. Если это так важно - завтра сядем и напишем урезанный SalesDep

avs123 Apr 18, 2012 at 10:52 AM 
Клиенты предприятия не могут быть пользователями программы, где их права и возможности зависят от человека (Администратора)!
Если Админ по какой-то причине (человеческий фактор) ошибется в назначении роли или прав, то у постороннего человека (не сотрудника фирмы) появляются неограниченные возможности (в зависимости от роли, которую ему ошибочно назначили) получить доступ к данным к нему не относящимся!
Это грубейшее нарушение безопасности. Если провести анализ разнообразных интернет платформ (интернет магазины, форумы, новостные системы, системы управления контентом и т.д.) то ни в одной системе нет таких разграничений по ролям между администрированием/управлением и доступом клиентов. Это ВСЕГДА два разных приложения!!!
У клиентов предприятия должен быть однозначно отдельный вход через отдельное приложение, где клиент логинится с данными описанными в параметрах клиента, и может получить доступ ТОЛЬКО к той информации, которая привязана к его ID.
Но это мое мнение, как человека, занимающимся услугами и сервисами в сети Интернет более 10 лет. Оно может быть не правильным.