просьба на пальцах объяснить чем плох подход к управлению правами доступа описанный http://kb.mista.ru/article.php?id=134

Разработка RLS на чтение – достаточно трудоемкий процесс и чаще всего его можно отложить на потом

дальше можно не читать.

(0) Кто ж его раскритикует, он же гений!

RLS - наше все,
все другие способы оставляют дырки

(3)  запрет на запуск внешних отчетов и обработок и все я не вижу возможности узнать посмотреть подергать что не то

(1) вы хотите сказать что разработка RLS процесс плевый

(0) а кто сказал что он плох ?

(6) не кто не говорил, мне хочется узнать кто нибудь его побывал какие впечатления.

(4) и ты не видишь возможности узнать посмотреть подергать что-то внешними обработками

(7) Просто стоит задача Возможности создания новых ролей без конфигуратара

(8) я не вижу возможности это сделать без них

(10) про суслика знаешь?

(5) я хочу сказать, что в большинстве случаев для настройки прав без RLS никак (потому что нужно ограничить данные на чтение по подразделениям/филиалам). а все остальное от лукавого.
а так, конечно, все от задачи и конкретного заказчика зависит. для киоска вполне достаточно способа в (0).

(11) да поэту и возникла ветка, а еще я знаю, что если дерево падает в лесу где никого нет то оно это делает бесшумно.Это как аналогия к суслику если его никто не видел мы не можем сказать есть ли он или нет его..

(13) >если его никто не видел
ну уж за всех-то не надо ;)

(7) тогда задай конкретный вопрос, как троль ты малозначим

(0) попробуй допилить типовую этим а потом обнови её

(15) 0 и есть конкретный вопрос какие косяки есть в методе сочту за комплимент ибо троллей ваще не люблю

(16) Ну можно же в подписку вынести все=), а не в модулях гадить.

(16) отдельный модуль регистр сведений,справочник подписка в чем проблема обновлять

(19) прелесть как раз и в том что типовые механизмы не затронуты

(18) (19) и для контроля чтения не нужно лезть в каждую форму что-бы там что-то поправить(а где нет форм - там их создавать)?

(14) как раз и занимаюсь поиском тех людей кто видел

(17) РЛС за тебя был0кодили создатели платформы. Их много, они умные. А ты один и твой быдлок0д заведомо хуже и дырок в нем больше. Права в основном нужно ограничивать как раз на чтение. Что там автор предлаагет(не читал статью, но осуждаю), чтобы скрыть документы в формах спсика? Устанавливать отбор динамически при открытии? Чтобы сотрудник одного подразделения не смог посмотреть что творят в другом?

(9) Ну делай регистр сведений и во все RLS пропиши запрос к нему. Делов-то...

(23) сотрудники одного подразделения и так не будут видеть действий сотрудников другого ибо риб, они ваще видят только данные своего подразделения.Плюс из-за того что многие не читали статью а там черным по белому написано  "RLS на чтение можно превосходно сочетать с нашей системой ролей."

(24) скорее всего так и поступлю, просто увидел другой механизм он кажется проще в реализации, захотелось узнать может кто использовал с какими проблемами сталкивался как решал какие баги вылезли

(26) плюс RLS это не панацея от всего тоже достаточна бажный механизм

(27) У меня работает идеально - в чем бажность?

(21) есть событие при получение формы можно вызывать исключение если данные обьект не находится в списке прав доступа пользователя

РЛС вещь удобная и простая. Дает огромные возможности. Как-то делал РЛС по подразделениям с исключениями для некоторых документов другого подразделения - было интересно - работает до сих пор как часы. Вот тут описано как я сделал это http://infostart.ru/public/191339/

Варианты где нужно ограничивать програмно это
1. Когда в одном документе разные люди имеют право изменять разные реквизиты. Но такое встречается редко.
2. больше и не припомню....

(29) и этот ананизм лучше РЛС?

(31) В 8.3 обещали допилить такую возможность. Еще не?

(32) Ну... если база файловая - будет явно лучше.

(31) .1 только если эти люди имеют абсолютно идентичный набор прав... но по нормальному как раз тут правами и РЛС всё
обруливается

(34) рельсой ты запретишь запись, а я говорю не только о записи но и о доступности элементов формы.

простой пример, у меня есть реализация ее делает менеджер, но в ней установить номер товарки и СФ имеет право только бухгалтер, но при этом бухгалтер не имеет право править товары.

(0) я считаю нормальный способ. сам так делаю часто когда нужно ограничить доступ  только к документам.

(30) вопрос не разграничение доступа по подразделениям или другим вещам вопрос стоит о возможности добавление объектов конфигурации в права пользователя чтобы начальники отделов могли в меру своей компетенции перераспределять работу в нутри отдела. То есть есть базовая роль и ей на некоторое время необходимо добавить некую возможность слегка расширить потом по истечению времени назад сузить. Например есть человек который занимается заведении контрагентов он ушел в отпуск. Возможность править контрагентов есть у него, начальника его подразделения и админа. В подразделении не сколько человек но не один не может целиком взять на себя Заведение контрагента 1 может добить юридическую информацию(Наименование кпп инн) но ему нельзя забивать другую 2 может забивать другую но ему нельзя давать возможность править юридическую. Понимаю пример утрированный но как то так.

да давно понятно, что РЛС на запись - это полное ж

(38) в таком случае права нужно строить на основе групп пользователей, и права выдаются именно на группу. а временно ты включаешь/исключаешь пользователя из группы и все работает само....

Вообще мое убеждение, что ни чего из прав не должно затачиватся на конкретного пользователя ни при каких обстоятельствах

(39) ибо вообще никак не поддается отладке

(0) как понимаю методы описанные в статье дадут ограничения на документы но если не закрыть отчеты то у пользователей останутся права просматривать движения, если это не проблема то можно и воспользоваться...с RLS такой проблемы не будет - конструкция "разрешенные" в запросе решает эту проблему (хотя есть и минус - <объект не обнаружен> например в формах списка это жесть)))

p.s. Гений на то и гений - статьи дельные писал

(39) почему, очень хорошо работает, пример Справочник.Пользователи

ГДЕ (Ссылка = &ТекущийПользователь)

(35) И Функциональные опции тоже не подходят? РЛС можно задавать как на запись вцелом так и на поля (на набор полей для прав чтение и изменение)

(38) Ну так и добавляй - пиши рлс, настраивай регистрик "настройки прав доступа пользователей" на группу - и давай права включением/исключением пользователя в группу

(42) естественно

(41) не потдается отладке? Консоль запросов используй - вот и вся отладка

(42) >>>> p.s. Гений на то и гений - статьи дельные писал


это сарказм?

(44) изменения происходят целыми объектами, но никак нее по полям

(39) Всегда так - что я не знаю и не умею - то полное Ж

(48) ключевое: "писал" а не "пишет"

(47) Вот тебе пользователь звонит: Недостаточно прав для выполнения операций на БД.  
А ты ему: да консоль используй и делов то

(50) Ты понимаешь что значит отладка????

(49) да, но права на изменение (хоть программное хоть интерактивное) ты можешь настроить средствами РЛС, если не знаешь как - вот иди и кури мануалы

(42)>>>(хотя есть и минус - <объект не обнаружен> например в формах списка это жесть)))

вы не умеете их готовить, сделай 2 строки :)

<Прочие поля> - "где ложь"
Ссылка, ПометкаУдаления, Номер, Дата, Проведен, Ответственный - "где истина"

(40) да только вопрос таких групп будет сколько?? Возьмем пример приведенный выше их уже 2 а может и 10 быть на 1 документ

(52) Ну если у тебя пользователи занимаются отладкой - то именно так

(54) Как можно с помошью РЛС на неупр формах настроить запрет на изменение кода например? При это можно менять наименование

(58) на неупр? так-же как на упр.
в окне настройки роли в правой нижней части кликнуть по столбцу поля, клинуть по кнопке "...", выбрать поля расставив им галочки и всё!

Для тех кто читает невнимательно - доступно для прав: Чтение и Изменение!

(59) и при смене наименования получишь - недостаточно прав

Вот классический пример из (52). Записываем новый документ
Как понять есть ли там внутри запрещенные данные или это косяк РЛС?

(60) смене наименования чего?

(61) Вероятность что пользователю удастся сохранить свою работу практически = 0

(62) У справочника. Код менять нельзя, а наименование можно

(59) а теперь  из предприятия))

(64) По условию задачи )))

(65) кури (32) и предшествующие посты до просветления.

(67) Ну скажи как решать (61)

(64) наименование чего? полей в конфигураторе?

(68) внятно можете писать, а не для телепатов?

(70) Пользователь создает новый документ, заполняет его.
При  записи получает "недостаточно прав для выполнения операции".
Как понять есть ли там внутри запрещенные данные или это косяк РЛС?

(71)что значит запрещённые данные?

если у пользователя нет прав на изменение какого-то поля - оно будет ридонли и он там ничего не сможет исправить, если он выбирает, к примеру, значение поля из справочника а на справочник наложено РЛС - он увидит в справочнике только те записи, которые он имеет право увидеть.

(72) Мы уже не про поле говорим. А про запрет на контрагентов, организации, номенклатуру и тд

(72) Пользователя тоже будешь спрашивать: Как понять что такое?

(73) внятно объясни что у тебя такое запрещённое что ты его с РЛС путаешь?

Переформулируем
Пользователь создает новый документ, заполняет его.
При  записи получает "недостаточно прав для выполнения операции".
Как найти ПОЧЕМУ?

(76) РЛС на запись документа или отдельного реквизита, РЛС на запись регистров, получение данных из регистров в обработке проведения или в коде по событию при(перед) записью в запросе без ключевого слова РАЗРЕШЕННЫЕ

(77) И дальше что? Пользователю то что делать?

единственное что не смог я сделать с помощью рлс - это показать часть табличной части - надеюсь в новых платформах что-то сделают с этим

(78) Обратиться к программисту

(80) Ну вот я к тебе обращаюсь

(78) ПОльзователю можно дать стул с гвоздем на сидении - что пользователю делать?

(76)пользователь не сможет в него внести ссылочные данные, которые запрещены РЛС

(83) Ты хочешь сказать что такой ошибки быть не может в принципе???

(81) Если все сделано правильно - значит пользователь не имеет прав на запись - нефиг лезть туда куда не надо.

(85) Ты пишешь код правильно с 1 раза и никогда не ошибаешься?
Падаю ниц перед тобой о бог программирования

(67) еще раз переформулируем как при помощи rls можно запретить редактировать произвольные поля которые есть в документе не прописывая для каждого реквизита отдельно правило в конфигураторе

(86) я свой код проверяю прежде чем отдать пользователю. И если потом все же находится ошибка - проверяю, исправляю. Почему может случиться такая ошибка я описал в (77) - если есть какие-то очень хитрые рлс - нужно смотреть их

(87) Ни как. А как мне нарисовать красную и желтую линию не покупая отдельно красный и желтый карандаш? Хочешь ограничить доступ к реквизиту - пиши правило для этого реквизита

RLS - это Row Level, а не Column Level. Какие реквизиты?

(84)пример: пользователь может заполнять документы(разные) от некоторых из филиалов, остальных он не должен даже видеть:
накладывается РЛС на справочник филиалов и на каждый тип документа (что-бы писать 1 раз само ограничение - пишут шаблон).
Что видит пользователь:
1. только те документы у которых указаны разрешённые ему филиалы.
2.может выбрать в форме выбора только разрешённые ему филиалы - остальные для него как буд-то не существуют!
3. в виду 2. в реквизит филиал документа может выбрать элемент справочника филиалы только из разрешённых.

Если ты правильно написал РЛС ничего лишнего он не увидит!!!

Есть ещё один скользкий момент: как быть с теми документами у которых реквизит филиал не заполнен в том случае если это необязательное к заполнению поле (можно сделать такие документы как видимыми так и не видимыми пользователю) - тут уже нужно решать на месте

Зойч, реально говорю, иди покури РЛС.

(89) вот и я про то в способе (0) показано как это обходится

(87) РЛС позволит для этих полей сделать ограничения на данные в них, тупо запретить их редактирование делается на уровне прав доступа.

(89) помножим на кол-во документов типовой +а потом это дело обновлять)))

(91) а как решить какой тип документа доступен

(91) Ключевой момент: если ты правильно написал РЛС.
В этом и вся проблема: что бы правильно писать нужно отлаживать, а инструментов то нет

(97) нужно писать так: если хватает мозгов на написание запроса.

(97) консоль запроса, не? В типовых не доводилось видеть шаблоны РЛС  строк на 15000? Значит вы ещё ничего не видели.

(98) О чем нам сметрным спорить с богами программироания

(99) Как ты итоговый запрос собираешь? или только мысленно?

(100) может попробуешь почитать про РЛС?

(101) итоговый с чем? От меня достаточно что-бы ограничение отрабатывало норм - остальное забота платформы

(99) в том и дело что видели и пробовали и знаем и поэтому ищем наименее трудозатратную систему

(95) А пилить формы потом не обновлять? В типовых кстати более-мменее приличный РЛС

(90) Точно, это я обманул про реквизиты))

Голлосовалку сюда) РЛС за и против)

(104) задача из реала: перепилить рарусовский 1С-УАП до подобия 1С-УАП корп... сделал порядка дней за 5-10 при загрузке этой задачей порядка 50% (включая все отчёты, а оони там и скд и через табличный документ и через построитель отчётов и через универсальный построитель... )...

постом обновлял легко и просто, только новым объектам РЛС запилил и всё!

Это и есть ПРОСТО и НЕ ТРУДОЗАТРАТНО. А в (0) предлагается изврат какой-то

(108) Ну не так уж и просто - да, добавить новые роли с рлс - на обновления не повлияет, а вот отчеты и получение данных документами нужно будет допиливать. Часто в упп к примеру забывают указать "РАЗРЕШЕННЫЕ" в запросах. УАП не видел - не скажу

5-10- не хилый разброс по времени в 2 раза

(109) берёшь версию без твоих обработок и смотришь какие отчёты изменились - уж поверь таких совсем немного от общей массы... и вставить Разрешённые в самый последний из пакетного запроса тоже не сложно, не так-ли?

(110) не записывали именно для вас, а т.к. фикси часов не закрываю и точно уже не восстановлю а врать не вижу смысла

(111) Не сложно - но при обновлении каждый раз с этим сталкиваться. Это конечно проще чем вариант в статье из (0) но тоже имеет свои трудности.

еще раз как при помощи RLS Запретить бухгалтеру править реквизит контрагент в реализации товаров услуг с 1 по 5 текущего месяца при этом оставить возможность заводить и редактировать всех контрагентов. а в следующем месяце это будет другой рандомный документ с рандомным реквизитом из доступных ей

(113) тебе не за их преодоление платят?

(114) это задача не для РЛС и не для http://kb.mista.ru/article.php?id=134 а для программного кода

(115) в том числе))

реализация прав в 1с - .удацкая... тяжелое наследие 7.7

(116) Да ладно какраз  http://kb.mista.ru/article.php?id=134 это решает плюс в низу ссылка есть для регистра

за шаблоны по 20 страниц ворда - отдельное спасибо

(119) в том и соль что в  http://kb.mista.ru/article.php?id=134 реализация дурацкая а вот идея волне нечего и не нужно противопоставлять это стандартным метадам разграничения прав мне кажется это удачное дополнение(Скорее я к этому пришел спасибо ветке за это)))

(121) в РЛС тоже в принципе можно, в запросе ведь день из даты вполне выдирается

(122) не спорю можно, но нет желания писать под каждый реквезит всех доков условия возможности редактирования

(0) Я за РЛС)))

скорее всего возможностями платформы очерчу опщие описание ролей, а уже методами от гения добью тонкую настройку

Kamas, если тебе реально интересно мнение чел - сделай голосовалку!

(126)
как??

(127) или отдельную ветку плодить

Прошу раскритиковать статью про RLS - кто поменял заголовок, я с ним не согласен((

А демократии на мисте нет

и не было))

(108) млин, мужик, у тебя реально яйца через монитор вываливаются,респектую

"Вот тебе пользователь звонит: Недостаточно прав для выполнения операций на БД." - в таком случае нужно себе срочно прострелить коленку. При ровно настроенных правах такого у пользователя вылезать не должно.

(97) Я как то сам писал РЛС, но когда приходиться править, вот ту то хотелось бы какой нибудь отладчик.
Недавно затык РЛС разбирал. Всё работало, а тут на тебе программер написал РЛС в роли и ищи почему не дает пользаку прав.

Одинес еще не запилила в последних версиях функцию типа ЕстьДоступ(СправочникСсылка, "Чтение") ???

А то последнее время они там над строками извращаются, незнают что придумать.

(135) такую функцию и самому легко сделать

Ну если у пользователя одна роль то да, а если много ролей и много пользователей с различным сочетанием ролей то уже не очень просто.

слово Элегантная не подходит к данному методу, скорее уж Простая как валенок система

(139) ))вы тервер помните чем сложнее механизм там больше вероятность выхода из строя. В моем понимании чем проще тем лучше. Хотя Элегантность действительно не то слово))

Хотя если подумать статья сводится к тому что мы просто подымаем на уровень абстракции выше Разграничение прав не больше не меньше))

(127) ткни на надпись vote  в нулевом посте

(137) угу,
Попытка
    <пытаемся получить значение>
Исключение
КонецПопытки;

кста, у раруса в конфах этих попыток караул сколько...

(143) правильно, а как еще ловить исключения, на которые так богата платформа 1С? Только Попыткой.

(143) Ага, из типовой:

            Попытка
                Набор.Записать();
            Исключение
                // возможно «сработал» RLS

Всегда прикалывало это слово "возможно" =)