Делаю single sign on. Правильно ли я настраиваю авторизацию?
Всем привет.
Преамбула:
Есть несколько PHP проектов. У каждого проекта в данное время есть своя таблица юзеров в которой: id, логин, пароль, роль. Никаких сложных ACL нет, грубо говоря всего 3 роли. Админ, менеджер, юзер. Проверяются с помощью контроллера и префиксов.
Требуется сделать единую аутентификацию = общую базу с пользователями и паролями. Возможность зайти на одном сайте и оказаться залогиненным на всех остальных
Но вопрос не по аутентификации. Будем считать, что оно работает.
Проблема в авторизации = кому и что позволено делать: раз аутентификация едина, то из каждого проекта мы убираем таблицу с юзерами и проект смотрит их в общей базе.
Вопрос: у пользователя могут быть разные права в разных проектах, раньше это не составляло проблемы. Однако, теперь когда таблица одна для всех, то как определить какой юзер что может делать на данном сайте?
Мне видится решение такое: в общей базе храним логины/пароли. Но у каждого проекта всё равно оставляем таблицу users где будет id и роль.
Так нормально или криво?
