Самостоятельное формирование разрешений и выдача экземпляров ключей

Чтобы построить универсальную систему прав доступа, вы можете самостоятельно формировать разрешения доступа, создавать экземпляры ключей и выдавать их пользователям. В этом случае можно контролировать права как на уровне элементов проекта, так и на уровне отдельных экземпляров сущностей (RLS).

примечание

В приложении этот вариант может совмещаться с простым вариантом, использующим автоматическую выдачу прав (подробнее).

Технология «1С:Исполнитель» дает возможность гибко настраивать права доступа пользователей путем написания произвольного кода в обработчиках вычисления разрешений доступа и проверки наличия у пользователей ключей доступа.

Ключи доступа, добавленные разработчиком

Вы можете добавлять в проект собственные ключи доступа. Для этого предназначены элементы проекта вида КлючДоступа. Элементу проекта этого вида можно добавить параметры. Для каждого сочетания значений этих параметров «1С:Исполнитель» создает свой уникальный экземпляр ключа.

При создании ключей доступа следует учитывать, что от количества экземпляров ключей, передаваемых в обработчики проверки наличия ключей, и от оптимальности алгоритмов этих обработчиков зависит производительность системы прав доступа и, как следствие, длительность операций подключения пользователей и записи объектов.

Подробнее о ключах доступа

Построение собственной системы прав

В собственной системе прав можно контролировать права как на уровне элементов проекта, так и на уровне отдельных экземпляров сущностей (RLS). Например, если чтение плана обмена разрешено, то дальше проверяется право на чтение конкретного элемента плана обмена. Если оно есть — значит, можно читать этот элемент. Если чтение запрещено — значит, этот элемент плана обмена читать нельзя. Если же чтение всего плана обмена запрещено, то права на его элементы не проверяются и чтение любого элемента запрещается.

Для реализации такой системы прав вам потребуется вручную создавать разрешения доступа и экземпляры ключей, а также устанавливать соответствие пользователей и экземпляров ключей.

Основные принципы построения системы ключей доступа

При построении системы ключей доступа нужно стремиться к сокращению типов ключей и их экземпляров:

• В проекте не должно быть ключей, которые фактически не используются.
• Не следует создавать новый тип ключа доступа, если логика выдачи прав приложения позволяет переиспользовать существующий.
• Не нужно создавать ключи доступа, правила выдачи которых дублируют правила стандартных ключей КлючДоступаДляАдминистратора, КлючДоступаДляАутентифицированных, КлючДоступаДляВсех и КлючДоступаПользователя.

Управление доступом в проекте

Каждый вид элементов проекта, для которого поддерживается управление доступом, имеет фиксированный набор прав, предоставляемый «1С:Исполнителем». Например, План обмена имеет права Создание, Чтение, Изменение, Удаление.

Каждый элемент проекта этих видов содержит свойство КонтрольДоступа. В этом свойстве вы можете перечислить, каким образом будет контролироваться доступ к тому или иному праву.

Чтобы получить возможность вручную создавать разрешения для тех прав, которые вы хотите контролировать самостоятельно, выберите способ контроля доступа РазрешенияВычисляются или РазрешенияВычисляютсяДляКаждогоОбъекта, например:

Описание свойства КонтрольДоступа в YAML-файле элемента проекта:

КонтрольДоступа:
    Разрешения:
        Создание: РазрешеноАутентифицированным
        Чтение: РазрешенияВычисляются
        ПоУмолчанию: РазрешеноАдминистраторам

Эти два способа контроля доступа отличаются следующим:

• РазрешенияВычисляются позволит вам контролировать права только на уровне всего элемента проекта;
• РазрешенияВычисляютсяДляКаждогоОбъекта позволит вам контролировать права и на уровне всего элемента проекта, и на уровне отдельных его элементов (RLS).

При выборе разрешения РазрешенияВычисляютсяДляКаждогоОбъекта становится активной и обязательной для заполнения настройка РасчетРазрешенийПо, в которой перечисляются названия полей объекта, по которым происходит расчет разрешений доступа:

Пример заполнения настройки РасчетРазрешенийПо при расчете разрешений по полям Вид, Ответственный и Проект:

КонтрольДоступа:
    Разрешения:
        ПоУмолчанию: РазрешенияВычисляютсяДляКаждогоОбъекта
    РасчетРазрешенийПо: [ Вид, Ответственный, Проект ]

важно

В качестве данных для расчета разрешений доступа нельзя указывать поля следующих типов:

• реквизиты-коллекции,
• строки неограниченной длины,
• числа, в которых более 20 знаков в целой части и более 10 в дробной.

Эти ограничения накладываются и на все пользовательские структуры, входящие в состав полей для расчета разрешений доступа.

Если для элемента проекта выбрано разрешение РазрешенияВычисляютсяДляКаждогоОбъекта, то порождается новый тип имя-элемента-проекта.ДанныеРасчетаРазрешений. Объект данного типа содержит все поля, перечисленные в настройке РасчетРазрешенийПо элемента проекта.

В коде объекты данного типа можно создать двумя способами:

• в качестве параметра указать сам объект, для которого должен быть порожден объект типа ДанныеРасчетаРазрешений:

• в качестве параметров явно указать все значения полей для расчета разрешений доступа:

Вычисление разрешений доступа

Предположим, вы добавили в приложение собственный ключ доступа с именем КлючиГруппСотрудников. Этот ключ имеет один параметр Группа, позволяющий указать элемент перечисления ГруппыСотрудников. Это перечисление имеет два элемента: Менеджеры и Руководители. Таким образом, вы сможете иметь два экземпляра ключа доступа, с помощью которых вы разделите всех пользователей на две группы.

Событие ВычислитьРазрешенияДоступа предназначено для создания разрешений доступа для всего элемента проекта в целом. Его обработчик может выглядеть, например, следующим образом:

@Обработчик
метод ВычислитьРазрешенияДоступа(): Массив<РазрешениеДоступа>

    пер Разрешения: Массив<РазрешениеДоступа>
    
    // Получим экземпляры ключей доступа
    пер КлючМенеджеров = новый КлючиГруппСотрудников.Объект(ГруппыСотрудников.Менеджеры)
    пер КлючРуководителей = новый КлючиГруппСотрудников.Объект(ГруппыСотрудников.Руководители)

    // Создадим разрешение доступа
    Разрешения.Добавить(новый РазрешениеДоступа([КлючМенеджеров, КлючРуководителей],
                                                [Сущность.Право.Чтение]))

    возврат Разрешения
;

Здесь чтение элемента проекта в целом разрешается всем пользователям: и тем, кто имеет экземпляр КлючРуководителей, и тем, кто имеет экземпляр КлючМенеджеров.

Событие ВычислитьРазрешенияДоступаДляОбъектов предназначено для создания разрешений доступа для отдельного экземпляра сущности. Обработчик события в модуле элемента проекта может выглядеть, например, следующим образом:

В зависимости от выбранного способа контроля доступа в элементе проекта, вам нужны определенные обработчики:

• если вы выбрали РазрешенияВычисляются, то у вас должен быть только обработчик события ВычислитьРазрешенияДоступа;
• если вы выбрали РазрешенияВычисляютсяДляКаждогоОбъекта, то вам нужны обработчики обоих событий.

После того как вы добавили в проект новый элемент проекта, для которого поддерживается управление доступом, нужно запустить приложение и записать для этого элемента разрешения доступа. Однако событие ВычислитьРазрешенияДоступа не вызывается автоматически. Для его вызова используйте метод ПересчитатьРазрешенияДоступа() (например, для регистра сведений: имя-регистра-сведений.ПересчитатьРазрешенияДоступа()). Такой вызов можно разместить в модуле проекта.

Подробнее о пересчете разрешений и экземпляров ключей

Обработчик события ВычислитьРазрешенияДоступаДляОбъектов в модуле сущности вызывается в следующих случаях:

• при создании нового объекта или записи регистра, если для любого из прав сущности настроено вычисление разрешений для каждого объекта;
• при изменении существующего объекта или записи регистра, если были изменены значения реквизитов, которые используются для расчета разрешений;
• при явном пересчете разрешений доступа объектов или записей регистра при вызове метода имя-сущности.ПересчитатьРазрешенияДоступаДляОбъектов().

Таким образом, после добавления элемента проекта и записи его объектов в приложении будут нужные разрешения как для самого элемента в целом, так и для его экземпляров.

Выдача ключей доступа

После добавления элемента проекта и записи его объектов в системной таблице ключей пользователя будут сформированы все необходимые записи. Это происходит потому, что данные в эту таблицу добавляются в момент первого получения экземпляров ключа, которое выполняется в обработчике события ВычислитьРазрешенияДоступа:

// ...
// Получим экземпляры ключей доступа
пер КлючМенеджеров = новый КлючиГруппСотрудников.Объект(ГруппыСотрудников.Менеджеры)
пер КлючРуководителей = новый КлючиГруппСотрудников.Объект(ГруппыСотрудников.Руководители)
// ...

В этот момент у менеджера этого ключа доступа вызывается событие ПроверитьНаличиеКлючейДоступа, в обработчике которого вы формируете соответствие экземпляра ключа пользователям. Например:

@Обработчик
метод ПроверитьНаличиеКлючейДоступа(
    Ключи: ЧитаемыйМассив<КлючиГруппСотрудников.Объект>,
    ПользователиДляПроверки: ЧитаемыйМассив<Пользователи.Ссылка>
    ): ЧитаемоеСоответствие<КлючиГруппСотрудников.Объект, ЧитаемыйМассив<Пользователи.Ссылка>>
    
    знч Результат = <КлючиГруппСотрудников.Объект, Массив<Пользователи.Ссылка>>{:}

    // Получаем пользователей каждой из групп сотрудников
    знч ГруппыСотрудников = Ключи.Преобразовать(Ключ -> Ключ.Группа)
    знч ПользователиПоГруппам: Соответствие<ГруппыСотрудников, Массив<Пользователи.Ссылка>> =
        ПолучитьПользователейПоГруппам(ГруппыСотрудников, ПользователиДляПроверки)

    для ЭкземплярКлюча из Ключи
        знч ПользователиГруппы = ПользователиПоГруппам.ПолучитьИлиНеопределено(ЭкземплярКлюча.Группа)
        если ПользователиГруппы != Неопределено
            Результат.Вставить(ЭкземплярКлюча, ПользователиГруппы)
        ;
    ;

    возврат Результат
;

Событие ПроверитьНаличиеКлючейДоступа вызывается в следующих случаях:

• при выполнении обработчика ВычислитьРазрешенияДоступаДляОбъектов, если при этом были созданы новые экземпляры ключей доступа;
• при подключении к приложению нового пользователя;
• при явном пересчете определенных ключей доступа пользователей при вызове метода имя-ключа-доступа.ПересчитатьКлючи(<Пользователи>);
• при явном пересчете всех ключей доступа пользователей при вызове метода Пользователи.ПересчитатьКлючиДоступа(<Пользователи>).

Обработчик события ПроверитьНаличиеКлючейДоступа в качестве параметров принимает массивы ключей и пользователей. На размеры этих массивов влияют:

• событие вызова обработчика:
  • если обработчик вызван при создании нового экземпляра ключа (в момент записи объекта), то массив ключей будет содержать только созданный экземпляр ключа, а массив пользователей — всех подключенных к приложению пользователей;
  • если обработчик вызван при подключении нового пользователя или при явном пересчете ключей пользователя, то массив ключей будет содержать все существующие экземпляры ключей, а массив пользователей — только этого пользователя;
• типы параметров ключа доступа и их количество:
  • количество возможных экземпляров ключей с параметрами ссылочных типов будет превосходить это количество для ключей с параметрами типов перечислений с ограниченным количеством значений;
  • чем больше параметров содержит ключ, тем больше возможных комбинаций их значений и тем больше количество возможных экземпляров ключа доступа.