Имя: Пароль:
1C
 
Прошу раскритиковать статью про RLS
,
0 Kamas
 
26.08.14
08:58
просьба на пальцах объяснить чем плох подход к управлению правами доступа описанный http://kb.mista.ru/article.php?id=134
1 sf
 
26.08.14
09:00
Разработка RLS на чтение – достаточно трудоемкий процесс и чаще всего его можно отложить на потом

дальше можно не читать.
2 МойКодУныл
 
26.08.14
09:01
(0) Кто ж его раскритикует, он же гений!
3 vde69
 
26.08.14
09:01
RLS - наше все,
все другие способы оставляют дырки
4 Kamas
 
26.08.14
09:03
(3)  запрет на запуск внешних отчетов и обработок и все я не вижу возможности узнать посмотреть подергать что не то
5 Kamas
 
26.08.14
09:04
(1) вы хотите сказать что разработка RLS процесс плевый
6 shuhard
 
26.08.14
09:04
(0) а кто сказал что он плох ?
7 Kamas
 
26.08.14
09:06
(6) не кто не говорил, мне хочется узнать кто нибудь его побывал какие впечатления.
8 Wobland
 
26.08.14
09:07
(4) и ты не видишь возможности узнать посмотреть подергать что-то внешними обработками
9 Kamas
 
26.08.14
09:08
(7) Просто стоит задача Возможности создания новых ролей без конфигуратара
10 Kamas
 
26.08.14
09:08
(8) я не вижу возможности это сделать без них
11 Wobland
 
26.08.14
09:09
(10) про суслика знаешь?
12 sf
 
26.08.14
09:11
(5) я хочу сказать, что в большинстве случаев для настройки прав без RLS никак (потому что нужно ограничить данные на чтение по подразделениям/филиалам). а все остальное от лукавого.
а так, конечно, все от задачи и конкретного заказчика зависит. для киоска вполне достаточно способа в (0).
13 Kamas
 
26.08.14
09:12
(11) да поэту и возникла ветка, а еще я знаю, что если дерево падает в лесу где никого нет то оно это делает бесшумно.Это как аналогия к суслику если его никто не видел мы не можем сказать есть ли он или нет его..
14 Wobland
 
26.08.14
09:14
(13) >если его никто не видел
ну уж за всех-то не надо ;)
15 shuhard
 
26.08.14
09:18
(7) тогда задай конкретный вопрос, как троль ты малозначим
16 Escander
 
26.08.14
09:20
(0) попробуй допилить типовую этим а потом обнови её
17 Kamas
 
26.08.14
09:21
(15) 0 и есть конкретный вопрос какие косяки есть в методе сочту за комплимент ибо троллей ваще не люблю
18 МойКодУныл
 
26.08.14
09:22
(16) Ну можно же в подписку вынести все=), а не в модулях гадить.
19 Kamas
 
26.08.14
09:22
(16) отдельный модуль регистр сведений,справочник подписка в чем проблема обновлять
20 Kamas
 
26.08.14
09:24
(19) прелесть как раз и в том что типовые механизмы не затронуты
21 Escander
 
26.08.14
09:27
(18) (19) и для контроля чтения не нужно лезть в каждую форму что-бы там что-то поправить(а где нет форм - там их создавать)?
22 Kamas
 
26.08.14
09:28
(14) как раз и занимаюсь поиском тех людей кто видел
23 МойКодУныл
 
26.08.14
09:29
(17) РЛС за тебя был0кодили создатели платформы. Их много, они умные. А ты один и твой быдлок0д заведомо хуже и дырок в нем больше. Права в основном нужно ограничивать как раз на чтение. Что там автор предлаагет(не читал статью, но осуждаю), чтобы скрыть документы в формах спсика? Устанавливать отбор динамически при открытии? Чтобы сотрудник одного подразделения не смог посмотреть что творят в другом?
24 dmpl
 
26.08.14
09:34
(9) Ну делай регистр сведений и во все RLS пропиши запрос к нему. Делов-то...
25 Kamas
 
26.08.14
09:34
(23) сотрудники одного подразделения и так не будут видеть действий сотрудников другого ибо риб, они ваще видят только данные своего подразделения.Плюс из-за того что многие не читали статью а там черным по белому написано  "RLS на чтение можно превосходно сочетать с нашей системой ролей."
26 Kamas
 
26.08.14
09:38
(24) скорее всего так и поступлю, просто увидел другой механизм он кажется проще в реализации, захотелось узнать может кто использовал с какими проблемами сталкивался как решал какие баги вылезли
27 Kamas
 
26.08.14
09:40
(26) плюс RLS это не панацея от всего тоже достаточна бажный механизм
28 Dionis Sergeevich
 
26.08.14
09:44
(27) У меня работает идеально - в чем бажность?
29 Kamas
 
26.08.14
09:46
(21) есть событие при получение формы можно вызывать исключение если данные обьект не находится в списке прав доступа пользователя
30 Dionis Sergeevich
 
26.08.14
09:47
РЛС вещь удобная и простая. Дает огромные возможности. Как-то делал РЛС по подразделениям с исключениями для некоторых документов другого подразделения - было интересно - работает до сих пор как часы. Вот тут описано как я сделал это http://infostart.ru/public/191339/
31 vde69
 
26.08.14
09:52
Варианты где нужно ограничивать програмно это
1. Когда в одном документе разные люди имеют право изменять разные реквизиты. Но такое встречается редко.
2. больше и не припомню....
32 Escander
 
26.08.14
09:53
(29) и этот ананизм лучше РЛС?
33 dmpl
 
26.08.14
09:55
(31) В 8.3 обещали допилить такую возможность. Еще не?

(32) Ну... если база файловая - будет явно лучше.
34 Escander
 
26.08.14
09:56
(31) .1 только если эти люди имеют абсолютно идентичный набор прав... но по нормальному как раз тут правами и РЛС всё
обруливается
35 vde69
 
26.08.14
09:57
(34) рельсой ты запретишь запись, а я говорю не только о записи но и о доступности элементов формы.
36 vde69
 
26.08.14
09:59
простой пример, у меня есть реализация ее делает менеджер, но в ней установить номер товарки и СФ имеет право только бухгалтер, но при этом бухгалтер не имеет право править товары.
37 Hans
 
26.08.14
10:01
(0) я считаю нормальный способ. сам так делаю часто когда нужно ограничить доступ  только к документам.
38 Kamas
 
26.08.14
10:01
(30) вопрос не разграничение доступа по подразделениям или другим вещам вопрос стоит о возможности добавление объектов конфигурации в права пользователя чтобы начальники отделов могли в меру своей компетенции перераспределять работу в нутри отдела. То есть есть базовая роль и ей на некоторое время необходимо добавить некую возможность слегка расширить потом по истечению времени назад сузить. Например есть человек который занимается заведении контрагентов он ушел в отпуск. Возможность править контрагентов есть у него, начальника его подразделения и админа. В подразделении не сколько человек но не один не может целиком взять на себя Заведение контрагента 1 может добить юридическую информацию(Наименование кпп инн) но ему нельзя забивать другую 2 может забивать другую но ему нельзя давать возможность править юридическую. Понимаю пример утрированный но как то так.
39 Зойч
 
26.08.14
10:04
да давно понятно, что РЛС на запись - это полное ж
40 vde69
 
26.08.14
10:05
(38) в таком случае права нужно строить на основе групп пользователей, и права выдаются именно на группу. а временно ты включаешь/исключаешь пользователя из группы и все работает само....

Вообще мое убеждение, что ни чего из прав не должно затачиватся на конкретного пользователя ни при каких обстоятельствах
41 Зойч
 
26.08.14
10:05
(39) ибо вообще никак не поддается отладке
42 tdm
 
26.08.14
10:06
(0) как понимаю методы описанные в статье дадут ограничения на документы но если не закрыть отчеты то у пользователей останутся права просматривать движения, если это не проблема то можно и воспользоваться...с RLS такой проблемы не будет - конструкция "разрешенные" в запросе решает эту проблему (хотя есть и минус - <объект не обнаружен> например в формах списка это жесть)))

p.s. Гений на то и гений - статьи дельные писал
43 vde69
 
26.08.14
10:07
(39) почему, очень хорошо работает, пример Справочник.Пользователи

ГДЕ (Ссылка = &ТекущийПользователь)
44 Escander
 
26.08.14
10:07
(35) И Функциональные опции тоже не подходят? РЛС можно задавать как на запись вцелом так и на поля (на набор полей для прав чтение и изменение)
45 Dionis Sergeevich
 
26.08.14
10:07
(38) Ну так и добавляй - пиши рлс, настраивай регистрик "настройки прав доступа пользователей" на группу - и давай права включением/исключением пользователя в группу
46 Escander
 
26.08.14
10:08
(42) естественно
47 Dionis Sergeevich
 
26.08.14
10:08
(41) не потдается отладке? Консоль запросов используй - вот и вся отладка
48 vde69
 
26.08.14
10:08
(42) >>>> p.s. Гений на то и гений - статьи дельные писал


это сарказм?
49 Зойч
 
26.08.14
10:09
(44) изменения происходят целыми объектами, но никак нее по полям
50 Dionis Sergeevich
 
26.08.14
10:09
(39) Всегда так - что я не знаю и не умею - то полное Ж
51 Escander
 
26.08.14
10:09
(48) ключевое: "писал" а не "пишет"
52 Зойч
 
26.08.14
10:09
(47) Вот тебе пользователь звонит: Недостаточно прав для выполнения операций на БД.  
А ты ему: да консоль используй и делов то
53 Зойч
 
26.08.14
10:10
(50) Ты понимаешь что значит отладка????
54 Escander
 
26.08.14
10:10
(49) да, но права на изменение (хоть программное хоть интерактивное) ты можешь настроить средствами РЛС, если не знаешь как - вот иди и кури мануалы
55 vde69
 
26.08.14
10:10
(42)>>>(хотя есть и минус - <объект не обнаружен> например в формах списка это жесть)))

вы не умеете их готовить, сделай 2 строки :)

<Прочие поля> - "где ложь"
Ссылка, ПометкаУдаления, Номер, Дата, Проведен, Ответственный - "где истина"
56 Kamas
 
26.08.14
10:11
(40) да только вопрос таких групп будет сколько?? Возьмем пример приведенный выше их уже 2 а может и 10 быть на 1 документ
57 Dionis Sergeevich
 
26.08.14
10:11
(52) Ну если у тебя пользователи занимаются отладкой - то именно так
58 Зойч
 
26.08.14
10:11
(54) Как можно с помошью РЛС на неупр формах настроить запрет на изменение кода например? При это можно менять наименование
59 Escander
 
26.08.14
10:23
(58) на неупр? так-же как на упр.
в окне настройки роли в правой нижней части кликнуть по столбцу поля, клинуть по кнопке "...", выбрать поля расставив им галочки и всё!

Для тех кто читает невнимательно - доступно для прав: Чтение и Изменение!
60 Зойч
 
26.08.14
10:25
(59) и при смене наименования получишь - недостаточно прав
61 Зойч
 
26.08.14
10:26
Вот классический пример из (52). Записываем новый документ
Как понять есть ли там внутри запрещенные данные или это косяк РЛС?
62 Escander
 
26.08.14
10:27
(60) смене наименования чего?
63 Зойч
 
26.08.14
10:27
(61) Вероятность что пользователю удастся сохранить свою работу практически = 0
64 Зойч
 
26.08.14
10:28
(62) У справочника. Код менять нельзя, а наименование можно
65 Kamas
 
26.08.14
10:28
(59) а теперь  из предприятия))
66 Зойч
 
26.08.14
10:28
(64) По условию задачи )))
67 Escander
 
26.08.14
10:29
(65) кури (32) и предшествующие посты до просветления.
68 Зойч
 
26.08.14
10:30
(67) Ну скажи как решать (61)
69 Escander
 
26.08.14
10:30
(64) наименование чего? полей в конфигураторе?
70 Escander
 
26.08.14
10:30
(68) внятно можете писать, а не для телепатов?
71 Зойч
 
26.08.14
10:32
(70) Пользователь создает новый документ, заполняет его.
При  записи получает "недостаточно прав для выполнения операции".
Как понять есть ли там внутри запрещенные данные или это косяк РЛС?
72 Escander
 
26.08.14
10:34
(71)что значит запрещённые данные?

если у пользователя нет прав на изменение какого-то поля - оно будет ридонли и он там ничего не сможет исправить, если он выбирает, к примеру, значение поля из справочника а на справочник наложено РЛС - он увидит в справочнике только те записи, которые он имеет право увидеть.
73 Зойч
 
26.08.14
10:35
(72) Мы уже не про поле говорим. А про запрет на контрагентов, организации, номенклатуру и тд
74 Зойч
 
26.08.14
10:36
(72) Пользователя тоже будешь спрашивать: Как понять что такое?
75 Escander
 
26.08.14
10:36
(73) внятно объясни что у тебя такое запрещённое что ты его с РЛС путаешь?
76 Зойч
 
26.08.14
10:36
Переформулируем
Пользователь создает новый документ, заполняет его.
При  записи получает "недостаточно прав для выполнения операции".
Как найти ПОЧЕМУ?
77 Dionis Sergeevich
 
26.08.14
10:42
(76) РЛС на запись документа или отдельного реквизита, РЛС на запись регистров, получение данных из регистров в обработке проведения или в коде по событию при(перед) записью в запросе без ключевого слова РАЗРЕШЕННЫЕ
78 Зойч
 
26.08.14
10:43
(77) И дальше что? Пользователю то что делать?
79 Dionis Sergeevich
 
26.08.14
10:43
единственное что не смог я сделать с помощью рлс - это показать часть табличной части - надеюсь в новых платформах что-то сделают с этим
80 Dionis Sergeevich
 
26.08.14
10:43
(78) Обратиться к программисту
81 Зойч
 
26.08.14
10:44
(80) Ну вот я к тебе обращаюсь
82 Dionis Sergeevich
 
26.08.14
10:44
(78) ПОльзователю можно дать стул с гвоздем на сидении - что пользователю делать?
83 Escander
 
26.08.14
10:46
(76)пользователь не сможет в него внести ссылочные данные, которые запрещены РЛС
84 Зойч
 
26.08.14
10:46
(83) Ты хочешь сказать что такой ошибки быть не может в принципе???
85 Dionis Sergeevich
 
26.08.14
10:46
(81) Если все сделано правильно - значит пользователь не имеет прав на запись - нефиг лезть туда куда не надо.
86 Зойч
 
26.08.14
10:47
(85) Ты пишешь код правильно с 1 раза и никогда не ошибаешься?
Падаю ниц перед тобой о бог программирования
87 Kamas
 
26.08.14
10:48
(67) еще раз переформулируем как при помощи rls можно запретить редактировать произвольные поля которые есть в документе не прописывая для каждого реквизита отдельно правило в конфигураторе
88 Dionis Sergeevich
 
26.08.14
10:49
(86) я свой код проверяю прежде чем отдать пользователю. И если потом все же находится ошибка - проверяю, исправляю. Почему может случиться такая ошибка я описал в (77) - если есть какие-то очень хитрые рлс - нужно смотреть их
89 Dionis Sergeevich
 
26.08.14
10:51
(87) Ни как. А как мне нарисовать красную и желтую линию не покупая отдельно красный и желтый карандаш? Хочешь ограничить доступ к реквизиту - пиши правило для этого реквизита
90 DailyLookingOnA Sunse
 
26.08.14
10:53
RLS - это Row Level, а не Column Level. Какие реквизиты?
91 Escander
 
26.08.14
10:53
(84)пример: пользователь может заполнять документы(разные) от некоторых из филиалов, остальных он не должен даже видеть:
накладывается РЛС на справочник филиалов и на каждый тип документа (что-бы писать 1 раз само ограничение - пишут шаблон).
Что видит пользователь:
1. только те документы у которых указаны разрешённые ему филиалы.
2.может выбрать в форме выбора только разрешённые ему филиалы - остальные для него как буд-то не существуют!
3. в виду 2. в реквизит филиал документа может выбрать элемент справочника филиалы только из разрешённых.

Если ты правильно написал РЛС ничего лишнего он не увидит!!!

Есть ещё один скользкий момент: как быть с теми документами у которых реквизит филиал не заполнен в том случае если это необязательное к заполнению поле (можно сделать такие документы как видимыми так и не видимыми пользователю) - тут уже нужно решать на месте
92 Escander
 
26.08.14
10:53
Зойч, реально говорю, иди покури РЛС.
93 Kamas
 
26.08.14
10:54
(89) вот и я про то в способе (0) показано как это обходится
94 Escander
 
26.08.14
10:55
(87) РЛС позволит для этих полей сделать ограничения на данные в них, тупо запретить их редактирование делается на уровне прав доступа.
95 tdm
 
26.08.14
10:55
(89) помножим на кол-во документов типовой +а потом это дело обновлять)))
96 Kamas
 
26.08.14
10:55
(91) а как решить какой тип документа доступен
97 Зойч
 
26.08.14
10:56
(91) Ключевой момент: если ты правильно написал РЛС.
В этом и вся проблема: что бы правильно писать нужно отлаживать, а инструментов то нет
98 Escander
 
26.08.14
10:57
(97) нужно писать так: если хватает мозгов на написание запроса.
99 Escander
 
26.08.14
10:58
(97) консоль запроса, не? В типовых не доводилось видеть шаблоны РЛС  строк на 15000? Значит вы ещё ничего не видели.
100 Зойч
 
26.08.14
10:58
(98) О чем нам сметрным спорить с богами программироания
101 Зойч
 
26.08.14
10:59
(99) Как ты итоговый запрос собираешь? или только мысленно?
102 Escander
 
26.08.14
10:59
(100) может попробуешь почитать про РЛС?
103 Escander
 
26.08.14
11:00
(101) итоговый с чем? От меня достаточно что-бы ограничение отрабатывало норм - остальное забота платформы
104 Kamas
 
26.08.14
11:00
(99) в том и дело что видели и пробовали и знаем и поэтому ищем наименее трудозатратную систему
105 Dionis Sergeevich
 
26.08.14
11:00
(95) А пилить формы потом не обновлять? В типовых кстати более-мменее приличный РЛС
106 Dionis Sergeevich
 
26.08.14
11:01
(90) Точно, это я обманул про реквизиты))
107 Dionis Sergeevich
 
26.08.14
11:01
Голлосовалку сюда) РЛС за и против)
108 Escander
 
26.08.14
11:04
(104) задача из реала: перепилить рарусовский 1С-УАП до подобия 1С-УАП корп... сделал порядка дней за 5-10 при загрузке этой задачей порядка 50% (включая все отчёты, а оони там и скд и через табличный документ и через построитель отчётов и через универсальный построитель... )...

постом обновлял легко и просто, только новым объектам РЛС запилил и всё!

Это и есть ПРОСТО и НЕ ТРУДОЗАТРАТНО. А в (0) предлагается изврат какой-то
109 Dionis Sergeevich
 
26.08.14
11:10
(108) Ну не так уж и просто - да, добавить новые роли с рлс - на обновления не повлияет, а вот отчеты и получение данных документами нужно будет допиливать. Часто в упп к примеру забывают указать "РАЗРЕШЕННЫЕ" в запросах. УАП не видел - не скажу
110 Kamas
 
26.08.14
11:11
5-10- не хилый разброс по времени в 2 раза
111 Escander
 
26.08.14
11:12
(109) берёшь версию без твоих обработок и смотришь какие отчёты изменились - уж поверь таких совсем немного от общей массы... и вставить Разрешённые в самый последний из пакетного запроса тоже не сложно, не так-ли?
112 Escander
 
26.08.14
11:13
(110) не записывали именно для вас, а т.к. фикси часов не закрываю и точно уже не восстановлю а врать не вижу смысла
113 Dionis Sergeevich
 
26.08.14
11:14
(111) Не сложно - но при обновлении каждый раз с этим сталкиваться. Это конечно проще чем вариант в статье из (0) но тоже имеет свои трудности.
114 Kamas
 
26.08.14
11:15
еще раз как при помощи RLS Запретить бухгалтеру править реквизит контрагент в реализации товаров услуг с 1 по 5 текущего месяца при этом оставить возможность заводить и редактировать всех контрагентов. а в следующем месяце это будет другой рандомный документ с рандомным реквизитом из доступных ей
115 Escander
 
26.08.14
11:15
(113) тебе не за их преодоление платят?
116 Escander
 
26.08.14
11:17
(114) это задача не для РЛС и не для http://kb.mista.ru/article.php?id=134 а для программного кода
117 Dionis Sergeevich
 
26.08.14
11:18
(115) в том числе))
118 Господин ПЖ
 
26.08.14
11:18
реализация прав в 1с - .удацкая... тяжелое наследие 7.7
119 Kamas
 
26.08.14
11:20
(116) Да ладно какраз  http://kb.mista.ru/article.php?id=134 это решает плюс в низу ссылка есть для регистра
120 Господин ПЖ
 
26.08.14
11:21
за шаблоны по 20 страниц ворда - отдельное спасибо
121 Kamas
 
26.08.14
11:25
(119) в том и соль что в  http://kb.mista.ru/article.php?id=134 реализация дурацкая а вот идея волне нечего и не нужно противопоставлять это стандартным метадам разграничения прав мне кажется это удачное дополнение(Скорее я к этому пришел спасибо ветке за это)))
122 Escander
 
26.08.14
11:27
(121) в РЛС тоже в принципе можно, в запросе ведь день из даты вполне выдирается
123 Kamas
 
26.08.14
11:30
(122) не спорю можно, но нет желания писать под каждый реквезит всех доков условия возможности редактирования
124 2mugik
 
26.08.14
11:31
(0) Я за РЛС)))
125 Kamas
 
26.08.14
11:32
скорее всего возможностями платформы очерчу опщие описание ролей, а уже методами от гения добью тонкую настройку
126 Escander
 
26.08.14
11:38
Kamas, если тебе реально интересно мнение чел - сделай голосовалку!
127 Kamas
 
26.08.14
11:41
(126)
как??
128 Kamas
 
26.08.14
11:42
(127) или отдельную ветку плодить
129 Kamas
 
26.08.14
11:50
Прошу раскритиковать статью про RLS - кто поменял заголовок, я с ним не согласен((
130 Dionis Sergeevich
 
26.08.14
11:56
А демократии на мисте нет
131 Kamas
 
26.08.14
12:00
и не было))
132 AlexITGround
 
26.08.14
12:15
(108) млин, мужик, у тебя реально яйца через монитор вываливаются,респектую
133 Адский плющ
 
26.08.14
14:02
"Вот тебе пользователь звонит: Недостаточно прав для выполнения операций на БД." - в таком случае нужно себе срочно прострелить коленку. При ровно настроенных правах такого у пользователя вылезать не должно.
134 spiller26
 
26.08.14
14:43
(97) Я как то сам писал РЛС, но когда приходиться править, вот ту то хотелось бы какой нибудь отладчик.
Недавно затык РЛС разбирал. Всё работало, а тут на тебе программер написал РЛС в роли и ищи почему не дает пользаку прав.
135 Hans
 
26.08.14
14:59
Одинес еще не запилила в последних версиях функцию типа ЕстьДоступ(СправочникСсылка, "Чтение") ???
136 Hans
 
26.08.14
15:00
А то последнее время они там над строками извращаются, незнают что придумать.
137 Зойч
 
26.08.14
15:02
(135) такую функцию и самому легко сделать
138 Hans
 
26.08.14
15:04
Ну если у пользователя одна роль то да, а если много ролей и много пользователей с различным сочетанием ролей то уже не очень просто.
139 la luna llena
 
26.08.14
15:41
слово Элегантная не подходит к данному методу, скорее уж Простая как валенок система
140 Kamas
 
26.08.14
16:08
(139) ))вы тервер помните чем сложнее механизм там больше вероятность выхода из строя. В моем понимании чем проще тем лучше. Хотя Элегантность действительно не то слово))
141 Kamas
 
26.08.14
16:11
Хотя если подумать статья сводится к тому что мы просто подымаем на уровень абстракции выше Разграничение прав не больше не меньше))
142 Escander
 
26.08.14
17:28
(127) ткни на надпись vote  в нулевом посте
143 Escander
 
26.08.14
17:34
(137) угу,
Попытка
    <пытаемся получить значение>
Исключение
КонецПопытки;

кста, у раруса в конфах этих попыток караул сколько...
144 МишельЛагранж
 
15.09.14
16:04
(143) правильно, а как еще ловить исключения, на которые так богата платформа 1С? Только Попыткой.
145 jk3
 
16.09.14
15:18
(143) Ага, из типовой:

            Попытка
                Набор.Записать();
            Исключение
                // возможно «сработал» RLS

Всегда прикалывало это слово "возможно" =)
Есть два вида языков, одни постоянно ругают, а вторыми никто не пользуется.