Как сделать разграничение ролей на сайте и безопасной авторизацию админа?

Question

[Егор Ш.]

Добрый день, подскажите пожалуйста, как лучше сделать авторизацию юзера с правами доступа. Я вижу это так, в модели "пользователь" сделать поле - роль, в которое записывать значения в зависимости от роли, админ или обычный юзер или модератор. И когда логинишься, код будет определять по емейлу админ ли ты или нет. Но как первоначально задавать эту роль для админа? нужно лезть в базу и руками прописывать значение для поля роль? Хотелось бы уточнить этот момент у профи, ибо мне кажется, мой вариант слишком примитивный.
Спасибо.

Answer 1

[trevoga_su]

самое простое:
пользователь привязывается к роли
роль - определение, к каким модулям системы разрешен доступ. либо разрешен, либо нет
в конкретном модуле проверять роль залогиненного пользователя на доступ к текущему модулю системы

вот пример для понимания - www.adverts.ru/admin demo demo
зайди в раздел "Административные группы"
пользователь demo прикреплен к группе demo, а для группы demo разрешено только просмотр списка объявлений и списка групп.

Comments

[Егор Ш.]

а как проставить первоначальную роль админа? руками лезть в бд?

[trevoga_su]

Егор Ш.: руками или пишем админ-интерфейс

[Егор Ш.]

Смотри, вот у меня уже написано апи, для каждого вызова метода апи мне надо проверять роль юзера и в зависимости от нее уже отдавать некоторые различия в инфе?

[trevoga_su]

Егор Ш.: да
роль понимаешь для чего нужна? что бы каждому пользователю не назначать одни и те же права.
если же случай частный, то можно и для пользователя права назначить

[Егор Ш.]

ну ок, понял , спасибо