Web App：管理者アクセスは通常どのように行われますか

Question

現在、私はWebアプリケーションを構築しています。これまでのところ、私は正規のユーザーしか持っていません。しかし、いくつかの要件のために、私はアプリ管理者のための特別な管理者アカウントを持っている必要があります。私は今これらが通常どのように実装されているのだろうかと思います。要件は、通常のユーザーと同じログイン・マスクを使用し、追加の機能を除いて同じように動作することです。差別化するために、ユーザーのプロファイルに管理フラグを設定するか、管理者をDB内の別のテーブルに配置することができます。たぶん、2番目のオプションは潜在的な追加のユーザーグループのためにより良いスケールです。また、どのようにこれらの管理者にサインアップできますか？私はログインハンドラでチェックしているあらかじめ定義されたユーザ名を使用したくありません。私はその質問がかなり一般的であることを知っています。私はちょうどいくつかの方向を探しています。

Answer 1

あなたが使用しているプラ​​ットフォームについての情報を提供していないので、私は理論的な答えしか与えられません。シンプルな "isadminチェックボックス"は、通常のユーザーと管理者を分離するだけの仕事ですが、 "パワーユーザー"などの別のユーザータイプが必要な場合は、テーブルに新しい列を追加することは理想的ではありません。基本的には、「ロールベース」または「パーミッション」ベースのアプローチを使用できます。役割ベースでは、名前が示すとおり、各ユーザーに役割を割り当て、役割に応じて特定のリソースにアクセスできます。 「権限」アプローチでは、各ユーザーに対して、アクセス権（アクセスするリソース、実行可能なアクション）を定義します。また、これら2つの方法を組み合わせて、各ユーザーに自分の役割を割り当て、各役割の権限を定義することもできます。