{"id":485076,"date":"2026-06-25T21:26:38","date_gmt":"2026-06-25T21:26:38","guid":{"rendered":"https:\/\/savepearlharbor.com\/?p=485076"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=485076","title":{"rendered":"\u041f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 RBAC"},"content":{"rendered":"<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<h2>\u0427\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0430: \u043a\u0430\u043a \u043c\u044b \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u043b\u0438 RBAC, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u0442 (\u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 FARA CRM)<\/h2>\n<blockquote>\n<p>\u0422\u0440\u0435\u0442\u044c\u044f \u0441\u0442\u0430\u0442\u044c\u044f \u0432 \u0431\u043b\u043e\u0433\u0435 FARA CRM. \u0412 \u043f\u0435\u0440\u0432\u044b\u0445 \u0434\u0432\u0443\u0445 \u043c\u044b \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u0438 \u043f\u0440\u043e <a href=\"https:\/\/habr.com\/ru\/companies\/faracrm\/articles\/1029850\/\">\u0440\u0430\u0431\u043e\u0442\u0443 \u0441 \u0444\u0430\u0439\u043b\u0430\u043c\u0438<\/a> \u0438 <a href=\"https:\/\/habr.com\/ru\/companies\/faracrm\/articles\/1011966\/\">\u043e\u0431\u0437\u043e\u0440 fara crm<\/a>. \u0421\u0435\u0433\u043e\u0434\u043d\u044f \u2014 \u043f\u0440\u043e \u0442\u043e, \u0431\u0435\u0437 \u0447\u0435\u0433\u043e CRM \u043d\u0435\u043b\u044c\u0437\u044f \u0432\u044b\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u0432 \u043f\u0440\u043e\u0434: \u043f\u0440\u043e \u0440\u0430\u0437\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430. \u041d\u0435 \u00ab\u0440\u043e\u043b\u0438 \u0438 \u0433\u0430\u043b\u043e\u0447\u043a\u0438\u00bb, \u0430 \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u043d\u043e \u043f\u0440\u043e\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0438\u0437 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u043e\u0441\u0435\u0439.<\/p>\n<\/blockquote>\n<h3>RBAC \u0437\u043d\u0430\u044e\u0442 \u0432\u0441\u0435. \u0412\u043e\u043f\u0440\u043e\u0441 \u2014 \u043a\u0430\u043a \u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c<\/h3>\n<p>\u0421\u043f\u0440\u043e\u0441\u0438\u0442\u0435 \u043b\u044e\u0431\u043e\u0433\u043e \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0430, \u043a\u0430\u043a \u0440\u0430\u0437\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0438, \u2014 \u0443\u0441\u043b\u044b\u0448\u0438\u0442\u0435 <strong>RBAC<\/strong>: \u0440\u043e\u043b\u0438 \u0438 \u043f\u0440\u0430\u0432\u0430. \u041d\u043e RBAC \u2014 \u044d\u0442\u043e <em>\u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044f<\/em>, \u0430 \u043d\u0435 \u0440\u0435\u0446\u0435\u043f\u0442. \u0421\u043e\u0432\u0435\u0442 \u00ab\u0437\u0430\u0432\u0435\u0434\u0438\u0442\u0435 \u0440\u043e\u043b\u0438 \u0438 \u0432\u044b\u0434\u0430\u0439\u0442\u0435 \u0438\u043c \u043f\u0440\u0430\u0432\u0430\u00bb \u043d\u0435 \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043d\u0438\u0447\u0435\u0433\u043e \u043e \u0442\u043e\u043c, <strong>\u043a\u0430\u043a<\/strong> \u044d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c, \u043a\u043e\u0433\u0434\u0430 \u0434\u043e\u0445\u043e\u0434\u0438\u0442 \u0434\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430.<\/p>\n<p>\u0410 \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0435 \u043f\u043e\u0447\u0442\u0438 \u0441\u0440\u0430\u0437\u0443 \u0432\u0441\u043f\u043b\u044b\u0432\u0430\u044e\u0442 \u0432\u043e\u043f\u0440\u043e\u0441\u044b, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0434\u0435\u043b\u044c \u00ab\u0440\u043e\u043b\u044c \u2192 \u043f\u0440\u0430\u0432\u043e\u00bb \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0435 \u043c\u043e\u0436\u0435\u0442:<\/p>\n<ul>\n<li>\n<p>\u041c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0441 \u043b\u0438\u0434\u0430\u043c\u0438. \u0421\u043e <strong>\u0432\u0441\u0435\u043c\u0438<\/strong> \u2014 \u0438\u043b\u0438 \u0442\u043e\u043b\u044c\u043a\u043e <strong>\u0441\u043e \u0441\u0432\u043e\u0438\u043c\u0438<\/strong>?<\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u0443\u0435\u0442 \u0441\u0432\u043e\u0439 \u043f\u0440\u043e\u0444\u0438\u043b\u044c. \u0410 \u043f\u043e\u043b\u0435 <strong>\u00ab\u0420\u043e\u043b\u0438\u00bb<\/strong> \u0438\u043b\u0438 <strong>\u00ab\u0421\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u00bb<\/strong> \u0432\u043d\u0443\u0442\u0440\u0438 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u043e\u0444\u0438\u043b\u044f \u2014 \u0442\u043e\u0436\u0435 \u043c\u043e\u0436\u0435\u0442 \u043c\u0435\u043d\u044f\u0442\u044c? <em>(\u0435\u0441\u043b\u0438 \u0434\u0430 \u2014 \u043e\u043d \u043e\u0434\u043d\u0438\u043c \u043a\u043b\u0438\u043a\u043e\u043c \u0441\u0434\u0435\u043b\u0430\u0435\u0442 \u0441\u0435\u0431\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u043c)<\/em><\/p>\n<\/li>\n<li>\n<p>\u0421\u0443\u043f\u0435\u0440\u0430\u0434\u043c\u0438\u043d \u0441\u043d\u0438\u043c\u0430\u0435\u0442 \u0430\u0434\u043c\u0438\u043d\u0441\u043a\u0438\u0435 \u043f\u0440\u0430\u0432\u0430. \u0410 <strong>\u0441 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e<\/strong> \u043e\u0441\u0442\u0430\u0432\u0448\u0435\u0433\u043e\u0441\u044f \u0430\u0434\u043c\u0438\u043d\u0430? <strong>\u0421 \u0441\u0435\u0431\u044f<\/strong>?<\/p>\n<\/li>\n<\/ul>\n<p>\u041a\u043b\u044e\u0447\u0435\u0432\u043e\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u0435: \u044d\u0442\u0438 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u2014 <strong>\u0440\u0430\u0437\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f<\/strong>. \u041e\u0434\u0438\u043d \u043f\u0440\u043e \u0442\u0430\u0431\u043b\u0438\u0446\u0443 \u0446\u0435\u043b\u0438\u043a\u043e\u043c, \u0434\u0440\u0443\u0433\u043e\u0439 \u043f\u0440\u043e \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443, \u0442\u0440\u0435\u0442\u0438\u0439 \u043f\u0440\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0435 \u043f\u043e\u043b\u0435, \u0447\u0435\u0442\u0432\u0451\u0440\u0442\u044b\u0439 \u043f\u0440\u043e \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435. \u00ab\u041f\u043b\u043e\u0441\u043a\u0438\u0439\u00bb RBAC \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u044e\u0442\u0441\u044f \u0432 \u0440\u043e\u0441\u0441\u044b\u043f\u044c <code>if<\/code>-\u043e\u0432 \u043f\u043e \u043a\u043e\u0434\u0443 \u2014 \u0430 \u044d\u0442\u043e \u043f\u0440\u044f\u043c\u043e\u0439 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 (\u0442\u043e \u0441\u0430\u043c\u043e\u0435 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0440\u043e\u043b\u0438 \u2014 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 <em>privilege escalation \u0447\u0435\u0440\u0435\u0437 mass-assignment<\/em>, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0432 2012-\u043c \u0432\u0437\u043b\u043e\u043c\u0430\u043b\u0438 GitHub).<\/p>\n<p>\u041c\u044b \u0444\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b\u0438 \u043e\u0442\u0432\u0435\u0442 \u0432 <strong>\u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044e \u0438\u0437 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u043e\u0441\u0435\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u0430<\/strong> \u2014 \u0432\u043c\u0435\u0441\u0442\u0435 \u043e\u043d\u0438 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0432\u0441\u0435 \u0447\u0435\u0442\u044b\u0440\u0435 \u0443\u0440\u043e\u0432\u043d\u044f. \u042d\u0442\u043e \u043f\u043e-\u043f\u0440\u0435\u0436\u043d\u0435\u043c\u0443 RBAC, \u043f\u0440\u043e\u0441\u0442\u043e \u0434\u043e\u0432\u0435\u0434\u0451\u043d\u043d\u044b\u0439 \u0434\u043e \u043a\u043e\u043d\u0446\u0430. \u041e \u043d\u0451\u043c \u0438 \u043f\u043e\u0439\u0434\u0451\u0442 \u0440\u0435\u0447\u044c.<\/p>\n<h3>\u041f\u043e\u0447\u0435\u043c\u0443 \u00ab\u0440\u043e\u043b\u044c \u2192 \u043f\u0440\u0430\u0432\u043e\u00bb \u2014 \u044d\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0435\u0440\u0432\u044b\u0439 \u0441\u043b\u043e\u0439<\/h3>\n<p>\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 RBAC \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:<\/p>\n<pre><code>\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u2192 \u0420\u043e\u043b\u0438 \u2192 \u041f\u0440\u0430\u0432\u0430 (permissions)<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:87px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u041c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u0443 \u0432\u044b\u0434\u0430\u043b\u0438 \u0440\u043e\u043b\u044c <code>manager<\/code>, \u0443 \u0440\u043e\u043b\u0438 \u0435\u0441\u0442\u044c \u043f\u0440\u0430\u0432\u043e <code>lead.update<\/code> \u2014 \u0437\u043d\u0430\u0447\u0438\u0442, \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u043c\u043e\u0436\u0435\u0442 \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u0438\u0434\u044b. \u041f\u0440\u043e\u0441\u0442\u043e, \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u0441\u043b\u0443\u0447\u0430\u0435\u0432.<\/p>\n<p>\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0442\u0430\u043a\u043e\u0435 \u00ab\u043f\u0440\u0430\u0432\u043e\u00bb \u2014 \u044d\u0442\u043e \u0433\u0430\u043b\u043e\u0447\u043a\u0430 \u0443\u0440\u043e\u0432\u043d\u044f <strong>\u0442\u0430\u0431\u043b\u0438\u0446\u044b \u0446\u0435\u043b\u0438\u043a\u043e\u043c<\/strong>. \u041e\u043d\u043e \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0440\u043e\u0432\u043d\u043e \u043d\u0430 \u043e\u0434\u0438\u043d \u0432\u043e\u043f\u0440\u043e\u0441: <em>\u00ab\u043c\u043e\u0436\u0435\u0442 \u043b\u0438 \u0440\u043e\u043b\u044c \u0432 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c C\/R\/U\/D \u043d\u0430\u0434 \u044d\u0442\u043e\u0439 \u043c\u043e\u0434\u0435\u043b\u044c\u044e?\u00bb<\/em> \u2014 \u0438 \u043d\u0430 \u044d\u0442\u043e\u043c \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f.<\/p>\n<p>\u0410 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f \u0436\u0438\u0432\u0443\u0442 \u043d\u0430 <strong>\u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445<\/strong>: \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u2192 \u0441\u0442\u0440\u043e\u043a\u0430 \u2192 \u043f\u043e\u043b\u0435 \u2192 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435. \u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0435\u0440\u0432\u044b\u0439. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0440\u0438 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432 \u043e\u0441\u0435\u0434\u0430\u044e\u0442 \u043f\u0440\u044f\u043c\u043e \u0432 \u043a\u043e\u0434\u0435 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432:<\/p>\n<pre><code>if not user.is_admin and lead.owner_id != user.id:    raise PermissionError()<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u0422\u0430\u043a\u0438\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c: \u043e\u043d\u0438 \u0440\u0430\u0437\u0431\u0440\u043e\u0441\u0430\u043d\u044b \u043f\u043e \u0441\u043e\u0442\u043d\u044f\u043c \u043c\u0435\u0441\u0442, \u0438\u0445 \u043b\u0435\u0433\u043a\u043e \u0437\u0430\u0431\u044b\u0442\u044c \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c, \u0438\u0445 \u043d\u0435\u043b\u044c\u0437\u044f \u043f\u0440\u043e\u0430\u0443\u0434\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e. \u041c\u044b \u043f\u043e\u0448\u043b\u0438 \u0434\u0440\u0443\u0433\u0438\u043c \u043f\u0443\u0442\u0451\u043c \u2014 <strong>\u0440\u0430\u0437\u043b\u043e\u0436\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043d\u0430 \u0447\u0435\u0442\u044b\u0440\u0435 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0435 \u043e\u0441\u0438 \u0438 \u0441\u0434\u0435\u043b\u0430\u043b\u0438 \u043a\u0430\u0436\u0434\u0443\u044e \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439.<\/strong><\/p>\n<h3>\u0427\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0430<\/h3>\n<p>\u0427\u0442\u043e\u0431\u044b \u0431\u044b\u043b\u043e \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u044c\u0442\u0435 \u043e\u0445\u0440\u0430\u043d\u044f\u0435\u043c\u043e\u0435 \u0437\u0434\u0430\u043d\u0438\u0435:<\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<th>\n<p align=\"left\">\u041e\u0441\u044c<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u0410\u043d\u0430\u043b\u043e\u0433\u0438\u044f<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u0412\u043e\u043f\u0440\u043e\u0441, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442<\/p>\n<\/th>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>ACL<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041e\u0445\u0440\u0430\u043d\u043d\u0438\u043a \u043d\u0430 \u0432\u0445\u043e\u0434\u0435<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041f\u0443\u0441\u0442\u044f\u0442 \u043b\u0438 \u0442\u0435\u0431\u044f \u0432 \u044d\u0442\u043e \u0437\u0434\u0430\u043d\u0438\u0435 (\u0442\u0430\u0431\u043b\u0438\u0446\u0443) \u0432\u043e\u043e\u0431\u0449\u0435 \u2014 \u0438 \u0447\u0438\u0442\u0430\u0442\u044c, \u0438\u043b\u0438 \u0435\u0449\u0451 \u0438 \u043c\u0435\u043d\u044f\u0442\u044c?<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>RAC<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041f\u0440\u043e\u043f\u0443\u0441\u043a \u0432 \u043a\u043e\u043c\u043d\u0430\u0442\u044b<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0412 \u043a\u0430\u043a\u0438\u0435 \u0438\u043c\u0435\u043d\u043d\u043e \u043a\u043e\u043c\u043d\u0430\u0442\u044b (\u0441\u0442\u0440\u043e\u043a\u0438) \u0442\u044b \u043c\u043e\u0436\u0435\u0448\u044c \u0437\u0430\u0439\u0442\u0438?<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>FAC<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0442\u0440\u043e\u0433\u0430\u0442\u044c<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0427\u0442\u043e \u0432 \u043a\u043e\u043c\u043d\u0430\u0442\u0435 \u0442\u0435\u0431\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043e \u0442\u0440\u043e\u0433\u0430\u0442\u044c (\u043f\u043e\u043b\u044f)?<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>VAC<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0434\u0435\u043b\u0430\u0442\u044c<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0410 \u0438\u0437 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0442\u0440\u043e\u0433\u0430\u0435\u0448\u044c, \u043a\u0430\u043a\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u044b (\u043d\u0435\u043b\u044c\u0437\u044f \u0432\u044b\u043a\u0440\u0443\u0442\u0438\u0442\u044c \u0440\u0443\u0431\u0438\u043b\u044c\u043d\u0438\u043a \u0432\u0441\u0435\u0433\u043e \u0437\u0434\u0430\u043d\u0438\u044f)?<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p>\u042d\u0442\u0438 \u043e\u0441\u0438 <strong>\u043e\u0440\u0442\u043e\u0433\u043e\u043d\u0430\u043b\u044c\u043d\u044b<\/strong>: \u043a\u0430\u0436\u0434\u0430\u044f \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u0432\u043e\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0437\u043d\u0430\u0435\u0442 \u043e \u0434\u0440\u0443\u0433\u0438\u0445. \u0417\u0430\u043f\u0440\u043e\u0441 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0438\u0445 \u043f\u043e \u043e\u0447\u0435\u0440\u0435\u0434\u0438, \u043a\u0430\u043a \u0447\u0435\u0440\u0435\u0437 \u0447\u0435\u0442\u044b\u0440\u0435 \u043f\u043e\u0441\u0442\u0430 \u043e\u0445\u0440\u0430\u043d\u044b. \u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u043a\u0430\u0436\u0434\u0443\u044e.<\/p>\n<h4>1. ACL \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0442\u0430\u0431\u043b\u0438\u0446\u0435<\/h4>\n<p><strong>ACL (Access Control List)<\/strong> \u2014 \u044d\u0442\u043e \u0431\u0430\u0437\u043e\u0432\u044b\u0439 \u0441\u043b\u043e\u0439, \u0442\u043e\u0442 \u0441\u0430\u043c\u044b\u0439 \u00ab\u043e\u0431\u044b\u0447\u043d\u044b\u0439 RBAC\u00bb. \u041e\u0434\u043d\u0430 \u0437\u0430\u043f\u0438\u0441\u044c ACL = \u0441\u0432\u044f\u0437\u043a\u0430 <code>\u0440\u043e\u043b\u044c \u00d7 \u043c\u043e\u0434\u0435\u043b\u044c \u00d7 \u0444\u043b\u0430\u0433\u0438 CRUD<\/code>.<\/p>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/972\/a40\/5a0\/972a405a006fd6cb7f28f48596aafb20.png\" width=\"1919\" height=\"867\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/972\/a40\/5a0\/972a405a006fd6cb7f28f48596aafb20.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/972\/a40\/5a0\/972a405a006fd6cb7f28f48596aafb20.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0412 FARA \u043f\u0440\u0430\u0432\u0430 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f <strong>\u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u043e<\/strong>, \u043f\u0440\u044f\u043c\u043e \u0432 \u043c\u043e\u0434\u0443\u043b\u0435, \u0447\u0435\u0440\u0435\u0437 \u043c\u0438\u043a\u0441\u0438\u043d:<\/p>\n<pre><code>class LeadsApp(ACLPostInitMixin, App):    # \u041f\u0440\u0430\u0432\u0430 \u0434\u043b\u044f \u0431\u0430\u0437\u043e\u0432\u043e\u0439 \u0440\u043e\u043b\u0438    BASE_USER_ACL = {        \"lead\": ACL.FULL,                                       # CRUD        \"lead_stage\": ACLPerms(create=True, read=True,                               update=True, delete=False),    }    # \u041f\u0440\u0430\u0432\u0430 \u0434\u043b\u044f \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0440\u043e\u043b\u0435\u0439    ROLE_ACL = {        \"manager\": {\"lead\": ACL.NO_DELETE},   # \u0432\u0441\u0451, \u043a\u0440\u043e\u043c\u0435 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u044f        \"viewer\":  {\"lead\": ACL.READ_ONLY},   # \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0442\u0435\u043d\u0438\u0435    }<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u0413\u043e\u0442\u043e\u0432\u044b\u0435 \u043f\u0440\u0435\u0441\u0435\u0442\u044b \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0442\u0438\u043f\u043e\u0432\u044b\u0435 \u0441\u043b\u0443\u0447\u0430\u0438 \u0438 \u0447\u0438\u0442\u0430\u044e\u0442\u0441\u044f \u043a\u0430\u043a \u043e\u0431\u044b\u0447\u043d\u044b\u0439 \u0442\u0435\u043a\u0441\u0442:<\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<th>\n<p align=\"left\">\u041f\u0440\u0435\u0441\u0435\u0442<\/p>\n<\/th>\n<th>\n<p align=\"left\">C<\/p>\n<\/th>\n<th>\n<p align=\"left\">R<\/p>\n<\/th>\n<th>\n<p align=\"left\">U<\/p>\n<\/th>\n<th>\n<p align=\"left\">D<\/p>\n<\/th>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><code>ACL.FULL<\/code><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><a href=\"http:\/\/ACL.READ\"><code>ACL.READ<\/code><\/a><code>_ONLY<\/code><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><a href=\"http:\/\/ACL.NO\"><code>ACL.NO<\/code><\/a><code>_DELETE<\/code><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2713<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><a href=\"http:\/\/ACL.NO\"><code>ACL.NO<\/code><\/a><code>_ACCESS<\/code><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u2014<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p><strong>\u0427\u0442\u043e \u0432\u0430\u0436\u043d\u043e:<\/strong> ACL \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab\u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0442\u0430\u0431\u043b\u0438\u0446\u0435\u0439 \u0432\u043e\u043e\u0431\u0449\u0435\u00bb. \u0412 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u0441 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c \u0440\u043e\u043b\u0438 ACL \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0431\u044b \u0448\u0442\u0430\u0442\u043d\u043e \u2014 \u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f <em>\u0435\u0441\u0442\u044c<\/em> \u043f\u0440\u0430\u0432\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0442\u044c \u0441\u0432\u043e\u044e \u0437\u0430\u043f\u0438\u0441\u044c. \u0414\u0435\u043b\u043e \u043d\u0435 \u0432 \u043d\u0451\u043c; \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u043a\u0440\u044b\u0442\u044c \u0442\u0430\u043a\u043e\u0439 \u0441\u043b\u0443\u0447\u0430\u0439, \u043d\u0443\u0436\u043d\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043e\u0441\u0438.<\/p>\n<hr\/>\n<h4>2. RAC \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0441\u0442\u0440\u043e\u043a\u0430\u043c<\/h4>\n<p><strong>RAC (Rules Access Control)<\/strong> \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab<em>\u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0438\u043c\u0435\u043d\u043d\u043e \u0437\u0430\u043f\u0438\u0441\u044f\u043c\u0438 \u0442\u0430\u0431\u043b\u0438\u0446\u044b<\/em>\u00bb. \u042d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 (<code>Rule<\/code>), \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u044e\u0442 \u043a \u0437\u0430\u043f\u0440\u043e\u0441\u0443 \u0444\u0438\u043b\u044c\u0442\u0440 \u2014 <strong>domain<\/strong>.<\/p>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/eb0\/04a\/f65\/eb004af65cd7ba29ae5430734a17c075.png\" width=\"1918\" height=\"869\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/eb0\/04a\/f65\/eb004af65cd7ba29ae5430734a17c075.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/eb0\/04a\/f65\/eb004af65cd7ba29ae5430734a17c075.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u00ab\u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u0432\u0438\u0434\u0438\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0432\u043e\u0438 \u043b\u0438\u0434\u044b\u00bb:<\/p>\n<pre><code>[[\"user_id\", \"=\", \"{{user_id}}\"]]<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p><code>{{user_id}}<\/code> \u043f\u043e\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u043b\u0435\u0442\u0443. \u0410 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u00ab\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043c\u043e\u0436\u0435\u0442 \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0432\u043e\u0439 \u043f\u0440\u043e\u0444\u0438\u043b\u044c\u00bb \u2014 \u0442\u043e \u0441\u0430\u043c\u043e\u0435, \u0447\u0442\u043e <em>\u0434\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u043b\u043e<\/em> \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u044d\u0441\u043a\u0430\u043b\u0430\u0446\u0438\u044e \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0441\u0442\u0440\u043e\u043a\u0438, \u043d\u043e \u043d\u0435 \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u043e, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043f\u0440\u043e\u0444\u0438\u043b\u044c \u0438 \u0431\u044b\u043b \u0435\u0433\u043e \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c:<\/p>\n<pre><code>{  \"name\": \"User can only edit own profile\",  \"role_id\": base_user_role_id,  \"domain\": [[\"id\", \"=\", \"{{user_id}}\"]],  \"perm_update\": True,}<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u041a\u043b\u044e\u0447\u0435\u0432\u0430\u044f \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u043d\u0430\u044f \u0434\u0435\u0442\u0430\u043b\u044c: <strong>\u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 SQL <\/strong><code><strong>WHERE<\/strong><\/code><strong> \u0438 \u0443\u0435\u0437\u0436\u0430\u044e\u0442 \u0432 \u0431\u0430\u0437\u0443<\/strong>. \u041c\u044b \u043d\u0435 \u0432\u044b\u0442\u0430\u0441\u043a\u0438\u0432\u0430\u0435\u043c \u0432\u0441\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0432 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u0442\u043e\u043c \u043e\u0442\u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432\u0430\u0442\u044c \u2014 \u044d\u0442\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u0438 \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u043e, \u0438 \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e. \u0411\u0430\u0437\u0430 \u0441\u0440\u0430\u0437\u0443 \u043e\u0442\u0434\u0430\u0451\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0451\u043d\u043d\u043e\u0435:<\/p>\n<pre><code>SELECT ... FROM leadsWHERE (\u0431\u0438\u0437\u043d\u0435\u0441-\u0444\u0438\u043b\u044c\u0442\u0440) AND (user_id = 42 OR team_id IN (1,2,3))<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u0415\u0441\u043b\u0438 \u0443 \u0440\u043e\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0430\u0432\u0438\u043b \u043d\u0430 \u043e\u0434\u043d\u0443 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044e \u2014 \u043e\u043d\u0438 \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u044f\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 <strong>OR<\/strong> (\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043f\u043e\u043f\u0430\u0441\u0442\u044c \u043f\u043e\u0434 \u043b\u044e\u0431\u043e\u0435). \u0410 \u0434\u043b\u044f \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0435\u0441\u0442\u044c \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0435 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0432\u0440\u043e\u0434\u0435 <code>@is_member<\/code> (\u0447\u043b\u0435\u043d\u0441\u0442\u0432\u043e \u0432 \u0447\u0430\u0442\u0435\/\u043f\u0440\u043e\u0435\u043a\u0442\u0435) \u0438\u043b\u0438 <code>@has_parent_access<\/code> (\u043a\u0430\u0441\u043a\u0430\u0434 \u043f\u0440\u0430\u0432 \u0447\u0435\u0440\u0435\u0437 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044f). \u041d\u043e \u0441\u043d\u0430\u0440\u0443\u0436\u0438 \u044d\u0442\u043e \u0432\u0441\u0451 \u0442\u043e\u0442 \u0436\u0435 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0439 domain.<\/p>\n<hr\/>\n<h4>3. FAC \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u043b\u044f\u043c<\/h4>\n<p>\u0421\u0430\u043c\u0430\u044f \u043d\u0435\u0434\u043e\u043e\u0446\u0435\u043d\u0451\u043d\u043d\u0430\u044f \u043e\u0441\u044c. <strong>FAC (Field Access Control)<\/strong> \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab<em>\u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438<\/em>\u00bb \u043c\u043e\u0436\u043d\u043e \u043f\u0438\u0441\u0430\u0442\u044c. \u0418\u043c\u0435\u043d\u043d\u043e \u043e\u043d\u0430 \u043b\u043e\u0432\u0438\u0442 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0440\u043e\u043b\u0438 \u0438\u0437 \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0432\u044b\u0448\u0435: \u043f\u043e\u043b\u0435 \u00ab\u0420\u043e\u043b\u0438\u00bb \u2014 \u043e\u0431\u044b\u0447\u043d\u043e\u0435 \u043f\u043e\u043b\u0435 \u043f\u0440\u043e\u0444\u0438\u043b\u044f, \u0438 \u0431\u0435\u0437 FAC \u0435\u0433\u043e \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442.<\/p>\n<pre><code>class User(DotModel):    # \u041c\u0435\u043d\u044f\u0442\u044c \u0440\u043e\u043b\u0438 \u043c\u043e\u0436\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u00ab\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a\u00bb    role_ids: list[\"Role\"] = Many2many(        role_update=\"system_admin\",        ...    )    # \u0421\u0442\u0430\u0432\u0438\u0442\u044c\/\u0441\u043d\u0438\u043c\u0430\u0442\u044c \u0441\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u2014 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c    is_admin: bool = Boolean(        default=False,        role_create=SUPERUSER,        role_update=SUPERUSER,    )<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u0410\u0442\u0440\u0438\u0431\u0443\u0442\u044b <code>role_read<\/code> \/ <code>role_create<\/code> \/ <code>role_update<\/code> \u0437\u0430\u0434\u0430\u044e\u0442, \u043a\u043e\u043c\u0443 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0430 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f \u043d\u0430\u0434 <strong>\u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c \u043f\u043e\u043b\u0435\u043c<\/strong>. \u0421\u043b\u0443\u0447\u0430\u0439 \u0441 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c \u0440\u043e\u043b\u0438 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u043e\u0439: <code>role_update=\"system_admin\"<\/code>. \u0422\u0435\u043f\u0435\u0440\u044c \u043e\u0431\u044b\u0447\u043d\u044b\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c, \u043f\u043e\u043f\u044b\u0442\u0430\u0432\u0448\u0438\u0439\u0441\u044f \u0432\u044b\u0434\u0430\u0442\u044c \u0441\u0435\u0431\u0435 \u0440\u043e\u043b\u044c, \u043f\u043e\u043b\u0443\u0447\u0438\u0442 \u043e\u0442\u043a\u0430\u0437 \u2014 \u043d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e \u0447\u0442\u043e \u0437\u0430\u043f\u0438\u0441\u044c \u0435\u0433\u043e \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u0438 ACL\/Rules \u0435\u0433\u043e \u043f\u0440\u043e\u043f\u0443\u0441\u0442\u0438\u043b\u0438.<\/p>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/15e\/2e9\/b85\/15e2e9b85bb3e3f603d6fa0475bcc7d7.png\" width=\"1919\" height=\"870\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/15e\/2e9\/b85\/15e2e9b85bb3e3f603d6fa0475bcc7d7.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/15e\/2e9\/b85\/15e2e9b85bb3e3f603d6fa0475bcc7d7.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><strong>\u0422\u043e\u043d\u043a\u043e\u0441\u0442\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0447\u0435\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043e\u0442 \u00ab\u0432\u0440\u043e\u0434\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442\u00bb.<\/strong> \u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c \u043d\u0430\u0434\u043e \u043d\u0435 <em>\u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435<\/em> \u043f\u043e\u043b\u044f \u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u0435, \u0430 \u0435\u0433\u043e <em>\u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435<\/em>. \u0424\u043e\u0440\u043c\u0430 \u043d\u0430 \u0444\u0440\u043e\u043d\u0442\u0435 \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u0435\u0442 <code>is_admin<\/code> \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0438 \u2014 \u0438 \u0435\u0441\u043b\u0438 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u044e\u0431\u043e\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u043b\u044f, \u0442\u043e \u00ab\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a\u00bb \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442 \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0434\u0430\u0436\u0435 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f (\u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0432 payload \u043f\u0440\u0438\u0435\u0434\u0435\u0442 \u043d\u0435\u0438\u0437\u043c\u0435\u043d\u0451\u043d\u043d\u044b\u0439 <code>is_admin<\/code>). \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 <strong>change-based<\/strong>:<\/p>\n<pre><code># \u0411\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u043b\u0435, \u0442\u043e\u043b\u044c\u043a\u043e \u0435\u0441\u043b\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u043e\u043c\u0435\u043d\u044f\u043b\u043e\u0441\u044cif cls._field_value_changes(field, name, payload, current):    # ... \u0438 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u0435\u043f\u0435\u0440\u044c \u0441\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u0435\u043c, \u0432\u043f\u0440\u0430\u0432\u0435 \u043b\u0438 \u0440\u043e\u043b\u044c \u0435\u0433\u043e \u043c\u0435\u043d\u044f\u0442\u044c<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<p>\u0425\u043e\u043b\u043e\u0441\u0442\u043e\u0439 \u043f\u043e\u0432\u0442\u043e\u0440 \u0442\u043e\u0433\u043e \u0436\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u2014 \u043d\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435, \u043e\u043d \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442. \u0411\u043e\u043d\u0443\u0441: \u0442\u0430\u043a \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0440\u0435\u0448\u0430\u0435\u0442\u0441\u044f \u0438 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u00ab\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u043f\u043e\u043b\u0435 \u0441 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435\u043c\u00bb \u2014 \u0435\u0441\u043b\u0438 \u0435\u0433\u043e \u043f\u0440\u0438\u0441\u043b\u0430\u043b\u0438 \u0431\u0435\u0437 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f, \u043e\u043d\u043e \u043d\u0435 \u0443\u043f\u0440\u0451\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443.<\/p>\n<hr\/>\n<h4>4. VAC \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f\u043c<\/h4>\n<p>\u0421\u0430\u043c\u0430\u044f \u0442\u043e\u043d\u043a\u0430\u044f \u043e\u0441\u044c. <strong>VAC (Value Access Control)<\/strong> \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab<em>\u043a\u0430\u043a\u0438\u0435 \u0438\u043c\u0435\u043d\u043d\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f<\/em>\u00bb \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e \u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c \u0432 \u043f\u043e\u043b\u0435 \u2014 \u0434\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u043f\u0440\u0430\u0432\u043e \u0435\u0433\u043e \u043c\u0435\u043d\u044f\u0442\u044c \u0443 \u0442\u0435\u0431\u044f \u0435\u0441\u0442\u044c.<\/p>\n<p>\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0441\u0443\u043f\u0435\u0440\u0430\u0434\u043c\u0438\u043d \u0441\u043d\u0438\u043c\u0430\u0435\u0442 \u0433\u0430\u043b\u043e\u0447\u043a\u0443 <code>is_admin<\/code>. \u041f\u0440\u0430\u0432\u043e \u043d\u0430 \u044d\u0442\u043e \u043f\u043e\u043b\u0435 \u0443 \u043d\u0435\u0433\u043e \u0435\u0441\u0442\u044c (FAC \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u0435\u0442). \u041d\u043e \u0435\u0441\u0442\u044c \u0431\u0438\u0437\u043d\u0435\u0441-\u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u043b\u044c\u0437\u044f \u043d\u0430\u0440\u0443\u0448\u0430\u0442\u044c:<\/p>\n<pre><code>if payload.is_admin is False:    # \u041d\u0435\u043b\u044c\u0437\u044f \u0441\u043d\u044f\u0442\u044c \u0430\u0434\u043c\u0438\u043d\u0430 \u0441 \u0441\u0430\u043c\u043e\u0433\u043e \u0441\u0435\u0431\u044f    if current_user.id == self.id:        raise FaraException(\"YOU_CANNOT_REVOKE_YOUR_OWN_ADMIN_STATUS\")    # \u041d\u0435\u043b\u044c\u0437\u044f \u0443\u0434\u0430\u043b\u0438\u0442\u044c \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435    if active_admins_count &lt;= 1:        raise FaraException(\"CANNOT_REMOVE_THE_LAST_ADMINISTRATOR\")<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/3ae\/3a1\/702\/3ae3a1702c4ef04eb58458179627a2d8.png\" width=\"1919\" height=\"864\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/3ae\/3a1\/702\/3ae3a1702c4ef04eb58458179627a2d8.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/3ae\/3a1\/702\/3ae3a1702c4ef04eb58458179627a2d8.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0421\u044e\u0434\u0430 \u0436\u0435 \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432\u0440\u043e\u0434\u0435 \u00ab\u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u043c\u043e\u0436\u0435\u0442 \u043d\u0430\u0437\u043d\u0430\u0447\u0438\u0442\u044c \u0440\u043e\u043b\u044c, \u043d\u043e \u043d\u0435 \u0432\u044b\u0448\u0435 \u0441\u0432\u043e\u0435\u0439 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439\u00bb \u0438\u043b\u0438 \u00ab\u0441\u043a\u0438\u0434\u043a\u0443 \u0431\u043e\u043b\u044c\u0448\u0435 20% \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u00bb. \u042d\u0442\u043e \u043d\u0435 \u043f\u0440\u043e \u043f\u043e\u043b\u0435 \u043a\u0430\u043a \u0442\u0430\u043a\u043e\u0432\u043e\u0435, \u0430 \u043f\u0440\u043e <strong>\u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435<\/strong> \u2014 \u043f\u043e\u044d\u0442\u043e\u043c\u0443 VAC \u0436\u0438\u0432\u0451\u0442 \u0432 \u0431\u0438\u0437\u043d\u0435\u0441-\u043b\u043e\u0433\u0438\u043a\u0435 \u043c\u043e\u0434\u0435\u043b\u0438, \u0440\u044f\u0434\u043e\u043c \u0441 \u0441\u0430\u043c\u0438\u043c \u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u043e\u043c, \u0430 \u043d\u0435 \u0432 \u043e\u0431\u0449\u0435\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u0435 \u043f\u0440\u0430\u0432.<\/p>\n<p>\u042d\u0442\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u043e\u0441\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u0438\u043c\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 (\u043a\u043e\u0434\u043e\u043c). \u0418 \u044d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e: \u0437\u043d\u0430\u0447\u0438\u043c\u044b\u0435 \u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0440\u0430\u0437\u043d\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b, \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u0433\u043e\u043d\u044f\u0442\u044c \u0438\u0445 \u0432 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u0443\u044e \u0441\u0445\u0435\u043c\u0443 \u2014 \u043f\u043e\u043f\u044b\u0442\u043a\u0430 \u044d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043e\u0431\u044b\u0447\u043d\u043e \u0440\u043e\u0436\u0434\u0430\u0435\u0442 \u043d\u0435\u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 \u00ab\u0434\u0432\u0438\u0436\u043e\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u00bb, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043f\u043e\u043d\u0438\u043c\u0430\u0435\u0442.<br \/>\u0422\u0430\u043a\u0436\u0435 \u0447\u0430\u0441\u0442\u044c \u044d\u0442\u043e\u0439 \u043b\u043e\u0433\u0438\u043a\u0435 \u043c\u043e\u0436\u0435\u0442 \u0443\u0445\u043e\u0434\u0438\u0442\u044c \u0432 \u0441\u0445\u0435\u043c\u044b \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u0438 (\u043f\u0438\u0434\u0430\u043d\u0442\u0438\u043a), \u043a\u043e\u0433\u0434\u0430 \u043c\u044b \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044e \u043d\u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0435 \u043f\u043e\u043b\u0435.<\/p>\n<hr\/>\n<h3>\u042d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c RBAC \u2014 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e\u0434\u0443\u043c\u0430\u043d\u043d\u044b\u0439<\/h3>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0433\u043b\u0430\u0432\u043d\u044b\u0439 \u0442\u0435\u0437\u0438\u0441. \u0412\u0441\u0451 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u043e\u0435 \u2014 <strong>\u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u0430 RBAC, \u0430 \u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u0430\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f<\/strong>.<\/p>\n<p>\u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u2014 \u044d\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0435\u0440\u0432\u0430\u044f \u043e\u0441\u044c (ACL). \u041e\u043d \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u00ab\u043c\u043e\u0436\u0435\u0442 \u043b\u0438 \u0440\u043e\u043b\u044c \u0442\u0440\u043e\u0433\u0430\u0442\u044c \u0442\u0430\u0431\u043b\u0438\u0446\u0443\u00bb \u0438 \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f. \u00ab\u041f\u0440\u043e\u0434\u0443\u043c\u0430\u043d\u043d\u044b\u0439\u00bb RBAC \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0435\u0449\u0451 \u0442\u0440\u0438 \u0438\u0437\u043c\u0435\u0440\u0435\u043d\u0438\u044f, \u0438 \u0432\u043c\u0435\u0441\u0442\u0435 \u043e\u043d\u0438 \u0434\u0430\u044e\u0442 \u043f\u043e\u043b\u043d\u0443\u044e \u043a\u0430\u0440\u0442\u0438\u043d\u0443:<\/p>\n<pre><code>                \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510   \u0417\u0430\u043f\u0440\u043e\u0441  \u2500\u2500\u2500\u25ba \u2502 ACL    \u043c\u043e\u0436\u0435\u0442 \u0440\u043e\u043b\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0442\u0430\u0431\u043b\u0438\u0446\u0435\u0439?   \u2502 \u2500\u25ba \u043d\u0435\u0442 \u2192 403                \u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524                \u2502 RAC    \u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0441\u0442\u0440\u043e\u043a\u0430\u043c\u0438?  (\u2192 SQL WHERE) \u2502 \u2500\u25ba \u0444\u0438\u043b\u044c\u0442\u0440                \u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524                \u2502 FAC    \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043e \u043c\u0435\u043d\u044f\u0442\u044c?      \u2502 \u2500\u25ba \u043d\u0435\u0442 \u2192 403                \u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524                \u2502 VAC    \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e \u043b\u0438 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435?        \u2502 \u2500\u25ba \u043d\u0435\u0442 \u2192 403                \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518                                    \u2502                                    \u25bc                            \u0437\u0430\u043f\u0438\u0441\u044c \u0432 \u0411\u0414<\/code><div class=\"code-explainer\"><a href=\"https:\/\/sourcecraft.dev\/\" class=\"tm-button code-explainer__link\" style=\"visibility: hidden;\"><img style=\"width:14px;height:14px;object-fit:cover;object-position:left;\"\/><\/a><\/div><\/pre>\n<div class=\"floating-image\">\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d18\/572\/64f\/d1857264f71d82449e5e5b0b9b551512.png\" width=\"780\" height=\"556\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/d18\/572\/64f\/d1857264f71d82449e5e5b0b9b551512.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d18\/572\/64f\/d1857264f71d82449e5e5b0b9b551512.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0418 \u0432\u0441\u0451 \u044d\u0442\u043e \u0437\u0430\u0432\u044f\u0437\u0430\u043d\u043e \u043d\u0430 <strong>\u0440\u043e\u043b\u0438 \u0441 \u043d\u0430\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435\u043c<\/strong>. \u0420\u043e\u043b\u044c \u043c\u043e\u0436\u0435\u0442 \u0440\u0430\u0441\u0448\u0438\u0440\u044f\u0442\u044c \u0434\u0440\u0443\u0433\u0443\u044e \u0447\u0435\u0440\u0435\u0437 <code>based_role_ids<\/code>: <code>crm_admin \u2192 crm_manager \u2192 crm_user \u2192 base_user<\/code>. \u041f\u0440\u0430\u0432\u0430 (ACL \u0438 Rules) \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u0434\u0435\u0440\u0435\u0432\u0443 \u043d\u0430\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f <strong>\u043e\u0434\u043d\u0438\u043c \u0440\u0435\u043a\u0443\u0440\u0441\u0438\u0432\u043d\u044b\u043c SQL-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u043c (CTE)<\/strong> \u2014 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 N+1, \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e \u043e\u0442 \u0433\u043b\u0443\u0431\u0438\u043d\u044b \u0438\u0435\u0440\u0430\u0440\u0445\u0438\u0438.<\/p>\n<\/div>\n<p>\u041f\u043e\u0447\u0435\u043c\u0443 \u00ab\u043e\u0431\u044b\u0447\u043d\u044b\u0439 RBAC \u043d\u0435 \u043f\u043e\u0434\u043e\u0439\u0434\u0451\u0442\u00bb? \u041f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043e\u043d \u0437\u0430\u0441\u0442\u0440\u0435\u0432\u0430\u0435\u0442 \u043d\u0430 \u043f\u0435\u0440\u0432\u043e\u0439 \u043e\u0441\u0438. \u041a\u0430\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u0431\u0438\u0437\u043d\u0435\u0441\u0443 \u043d\u0443\u0436\u043d\u043e \u00ab\u0441\u0432\u043e\u0451\/\u0447\u0443\u0436\u043e\u0435\u00bb, \u00ab\u043d\u0435\u043b\u044c\u0437\u044f \u0442\u0440\u043e\u0433\u0430\u0442\u044c \u044d\u0442\u043e \u043f\u043e\u043b\u0435\u00bb \u0438\u043b\u0438 \u00ab\u043d\u0435\u043b\u044c\u0437\u044f \u0441\u043d\u044f\u0442\u044c \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u0430\u0434\u043c\u0438\u043d\u0430\u00bb \u2014 \u043f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0440\u043e\u0441\u0441\u044b\u043f\u044c\u044e \u0445\u0430\u0440\u0434\u043a\u043e\u0434\u0430. \u0410 \u0447\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0442 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u0438 \u0432 \u043e\u0434\u043d\u043e\u043c \u043c\u0435\u0441\u0442\u0435.<\/p>\n<hr\/>\n<h3>\u0421\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u0435 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u043f\u043e\u0434\u0445\u043e\u0434\u0430\u043c\u0438<\/h3>\n<p>\u0421\u0440\u0430\u0432\u043d\u0438\u043c \u043d\u0430\u0448 \u0441\u043b\u043e\u0451\u043d\u044b\u0439 RBAC \u0441 \u0442\u0438\u043f\u043e\u0432\u044b\u043c\u0438 \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u0430\u043c\u0438 \u043f\u043e \u0447\u0435\u0442\u044b\u0440\u0451\u043c \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u044f\u043c: <strong>\u0441\u043a\u043e\u0440\u043e\u0441\u0442\u044c<\/strong>, <strong>\u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0438\u0440\u0443\u0435\u043c\u043e\u0441\u0442\u044c<\/strong>, <strong>\u0433\u0438\u0431\u043a\u043e\u0441\u0442\u044c<\/strong>, <strong>\u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u043e\u0441\u0442\u044c<\/strong>.<\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<th>\n<p align=\"left\">\u041f\u043e\u0434\u0445\u043e\u0434<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u0413\u0440\u0430\u043d\u0443\u043b\u044f\u0440\u043d\u043e\u0441\u0442\u044c<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u0421\u043a\u043e\u0440\u043e\u0441\u0442\u044c<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u041c\u0430\u0441\u0448\u0442\u0430\u0431\u0438\u0440\u0443\u0435\u043c\u043e\u0441\u0442\u044c<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u0413\u0438\u0431\u043a\u043e\u0441\u0442\u044c<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430<\/p>\n<\/th>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>\u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0442\u043e\u043b\u044c\u043a\u043e \u0442\u0430\u0431\u043b\u0438\u0446\u0430<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0432\u044b\u0441\u043e\u043a\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0445\u043e\u0440\u043e\u0448\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udd34 \u043d\u0438\u0437\u043a\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u043f\u0440\u043e\u0441\u0442\u0430\u044f<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>\u0425\u0430\u0440\u0434\u043a\u043e\u0434 <\/strong><code><strong>if<\/strong><\/code><strong>-\u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u043b\u044e\u0431\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0432\u044b\u0441\u043e\u043a\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udd34 \u043f\u043b\u043e\u0445\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe1 \u043b\u044e\u0431\u0430\u044f, \u043d\u043e \u0440\u0443\u043a\u0430\u043c\u0438<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udd34 \u0430\u0434<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>ABAC (\u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438\/\u0430\u0442\u0440\u0438\u0431\u0443\u0442\u044b)<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u043b\u044e\u0431\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe1 \u0441\u0440\u0435\u0434\u043d\u044f\u044f*<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe1 \u0441\u0440\u0435\u0434\u043d\u044f\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe1 \u0441\u043b\u043e\u0436\u043d\u0430\u044f<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>Postgres RLS<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0441\u0442\u0440\u043e\u043a\u0430<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0432\u044b\u0441\u043e\u043a\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0445\u043e\u0440\u043e\u0448\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udd34 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0442\u0440\u043e\u043a\u0438<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udd34 \u0432\u043d\u0435 \u043a\u043e\u0434\u0430 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p align=\"left\"><strong>\u0421\u043b\u043e\u0451\u043d\u044b\u0439 RBAC (FARA)<\/strong><\/p>\n<\/td>\n<td>\n<p align=\"left\">\u0442\u0430\u0431\u043b\u0438\u0446\u0430+\u0441\u0442\u0440\u043e\u043a\u0430+\u043f\u043e\u043b\u0435+\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0432\u044b\u0441\u043e\u043a\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0445\u043e\u0440\u043e\u0448\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0432\u044b\u0441\u043e\u043a\u0430\u044f<\/p>\n<\/td>\n<td>\n<p align=\"left\">\ud83d\udfe2 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u0430\u044f<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p>ABAC \u0432\u044b\u0447\u0438\u0441\u043b\u044f\u0435\u0442 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441; \u043f\u0440\u0438 \u0440\u043e\u0441\u0442\u0435 \u0447\u0438\u0441\u043b\u0430 \u043f\u0440\u0430\u0432\u0438\u043b \u0434\u0435\u0433\u0440\u0430\u0434\u0438\u0440\u0443\u0435\u0442.*<\/p>\n<p>\u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u043f\u043e \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u044f\u043c.<\/p>\n<p><strong>\u0421\u043a\u043e\u0440\u043e\u0441\u0442\u044c.<\/strong> \u0423\u0437\u043a\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u0432 \u043f\u0440\u0430\u0432\u0430\u0445 \u2014 \u044d\u0442\u043e \u0432\u0441\u0435\u0433\u0434\u0430 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0441\u0442\u0440\u043e\u043a (\u0438\u0445 \u043c\u043d\u043e\u0433\u043e). \u041c\u044b \u0440\u0435\u0448\u0430\u0435\u043c \u0435\u0433\u043e \u0442\u0435\u043c, \u0447\u0442\u043e <strong>\u043f\u0440\u043e\u0442\u0430\u043b\u043a\u0438\u0432\u0430\u0435\u043c \u0444\u0438\u043b\u044c\u0442\u0440 \u0432 SQL<\/strong> \u2014 \u0431\u0430\u0437\u0430 \u0441\u0440\u0430\u0437\u0443 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0440\u0430\u0437\u0440\u0435\u0448\u0451\u043d\u043d\u043e\u0435. \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u043e\u043b\u0435\u0439 \u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0439 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u044e\u0442\u0441\u044f <strong>\u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u0437\u0430\u043f\u0438\u0441\u044c<\/strong> (\u043d\u0435 \u043d\u0430 \u0447\u0442\u0435\u043d\u0438\u0435) \u0438 <strong>\u0432 \u043f\u0430\u043c\u044f\u0442\u0438<\/strong>, \u0431\u0435\u0437 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u0411\u0414 (\u0440\u043e\u043b\u0438 \u0443\u0436\u0435 \u0440\u0430\u0437\u0432\u0451\u0440\u043d\u0443\u0442\u044b \u0438 \u043b\u0435\u0436\u0430\u0442 \u0432 \u0441\u0435\u0441\u0441\u0438\u0438). \u0418\u0442\u043e\u0433: \u043d\u0430 \u00ab\u0433\u043e\u0440\u044f\u0447\u0435\u043c\u00bb \u043f\u0443\u0442\u0438 \u0447\u0442\u0435\u043d\u0438\u044f \u2014 \u043e\u0434\u0438\u043d \u0437\u0430\u043f\u0440\u043e\u0441, \u043d\u0430 \u0437\u0430\u043f\u0438\u0441\u0438 \u2014 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0434\u0435\u0448\u0451\u0432\u044b\u0445 in-memory \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a.<\/p>\n<p><strong>\u041c\u0430\u0441\u0448\u0442\u0430\u0431\u0438\u0440\u0443\u0435\u043c\u043e\u0441\u0442\u044c.<\/strong> \u0418\u0435\u0440\u0430\u0440\u0445\u0438\u044f \u0440\u043e\u043b\u0435\u0439 \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0440\u0435\u043a\u0443\u0440\u0441\u0438\u0432\u043d\u044b\u043c CTE \u2014 \u043e\u0434\u0438\u043d \u0437\u0430\u043f\u0440\u043e\u0441 \u0432\u043d\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0433\u043b\u0443\u0431\u0438\u043d\u044b. \u041f\u0440\u0430\u0432\u0430 \u043a\u044d\u0448\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 \u0441\u0435\u0441\u0441\u0438\u0438 \u0438 \u0438\u043d\u0432\u0430\u043b\u0438\u0434\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u0448\u0438\u043d\u0443 <code>pg_notify<\/code> \u043f\u0440\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0438 \u0440\u043e\u043b\u0435\u0439. ABAC \u0436\u0435 \u0441 \u0440\u043e\u0441\u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0430 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442 \u0442\u043e\u0440\u043c\u043e\u0437\u0438\u0442\u044c (\u043a\u0430\u0436\u0434\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u2014 \u043f\u0440\u043e\u0433\u043e\u043d \u0432\u0441\u0435\u0445 \u043f\u0440\u0430\u0432\u0438\u043b), \u0430 \u0445\u0430\u0440\u0434\u043a\u043e\u0434 \u043d\u0435 \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u043e \u2014 \u0435\u0433\u043e \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c \u0432 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u0435.<\/p>\n<p><strong>\u0413\u0438\u0431\u043a\u043e\u0441\u0442\u044c.<\/strong> \u0427\u0435\u0442\u044b\u0440\u0435 \u043e\u0440\u0442\u043e\u0433\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435 \u043e\u0441\u0438 \u043f\u043e\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043b\u044e\u0431\u043e\u0439 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0439 \u043a\u0435\u0439\u0441: \u043e\u0442 \u00ab\u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0442\u0435\u043d\u0438\u0435\u00bb \u0434\u043e \u00ab\u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u0432\u0438\u0434\u0438\u0442 \u043b\u0438\u0434\u044b \u0441\u0432\u043e\u0435\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u043c\u043e\u0436\u0435\u0442 \u043c\u0435\u043d\u044f\u0442\u044c \u0441\u0442\u0430\u0434\u0438\u044e, \u043d\u043e \u043d\u0435 \u0441\u0443\u043c\u043c\u0443, \u0438 \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u0441\u043a\u0438\u0434\u043a\u0443 \u0432\u044b\u0448\u0435 \u0441\u0432\u043e\u0435\u0433\u043e \u043b\u0438\u043c\u0438\u0442\u0430\u00bb. ABAC \u0444\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e \u0433\u0438\u0431\u0447\u0435 (\u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0435 \u0430\u0442\u0440\u0438\u0431\u0443\u0442\u044b), \u043d\u043e \u043f\u043b\u0430\u0442\u0438\u0442 \u0437\u0430 \u044d\u0442\u043e \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c\u044e \u0438 \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u044c\u044e. \u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u0438 RLS \u2014 \u0436\u0451\u0441\u0442\u043a\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u044b \u0441\u0432\u043e\u0435\u0439 \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u0433\u0440\u0430\u043d\u0443\u043b\u044f\u0440\u043d\u043e\u0441\u0442\u044c\u044e.<\/p>\n<p><strong>\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u043e\u0441\u0442\u044c.<\/strong> \u0422\u0440\u0438 \u0438\u0437 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u043e\u0441\u0435\u0439 <strong>\u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u044b<\/strong>: ACL \u0438 Rules \u2014 \u044d\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 (\u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0447\u0435\u0440\u0435\u0437 UI \u0431\u0435\u0437 \u0434\u0435\u043f\u043b\u043e\u044f), FAC \u2014 \u044d\u0442\u043e \u0430\u0442\u0440\u0438\u0431\u0443\u0442 \u043d\u0430 \u043f\u043e\u043b\u0435 \u0440\u044f\u0434\u043e\u043c \u0441 \u0435\u0433\u043e \u043e\u0431\u044a\u044f\u0432\u043b\u0435\u043d\u0438\u0435\u043c. \u0410\u0443\u0434\u0438\u0442 \u0441\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u043a \u0447\u0442\u0435\u043d\u0438\u044e \u043e\u0434\u043d\u043e\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u044b \u0438 \u043e\u0434\u043d\u043e\u0433\u043e \u043c\u0435\u0441\u0442\u0430 \u0432 \u043c\u043e\u0434\u0435\u043b\u0438. \u0422\u043e\u043b\u044c\u043a\u043e VAC \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u043a\u043e\u0434\u043e\u043c \u2014 \u043d\u043e \u044d\u0442\u043e \u043e\u0441\u043e\u0437\u043d\u0430\u043d\u043d\u044b\u0439 \u0432\u044b\u0431\u043e\u0440: \u0431\u0438\u0437\u043d\u0435\u0441-\u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0436\u0438\u0442\u044c \u0440\u044f\u0434\u043e\u043c \u0441 \u0431\u0438\u0437\u043d\u0435\u0441-\u043b\u043e\u0433\u0438\u043a\u043e\u0439. \u0421\u0440\u0430\u0432\u043d\u0438\u0442\u0435 \u0441 \u0445\u0430\u0440\u0434\u043a\u043e\u0434\u043e\u043c, \u0433\u0434\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u044f\u0442\u0430\u0442\u044c\u0441\u044f \u0432 \u043b\u044e\u0431\u043e\u043c \u0438\u0437 \u0441\u043e\u0442\u0435\u043d \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432.<\/p>\n<hr\/>\n<h3>\u041f\u043e\u0447\u0435\u043c\u0443 \u043c\u044b \u043d\u0435 \u0432\u0437\u044f\u043b\u0438 \u0433\u043e\u0442\u043e\u0432\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0420\u0435\u0437\u043e\u043d\u043d\u044b\u0439 \u0432\u043e\u043f\u0440\u043e\u0441: \u0437\u0430\u0447\u0435\u043c \u0441\u0432\u043e\u0451, \u0435\u0441\u043b\u0438 \u0435\u0441\u0442\u044c Casbin, Pundit, Oso, RLS? \u041a\u043e\u0440\u043e\u0442\u043a\u0438\u0439 \u043e\u0442\u0432\u0435\u0442 \u2014 <strong>\u043d\u0438 \u043e\u0434\u043d\u043e \u043d\u0435 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0432\u0441\u0435 \u0447\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u043e \u0445\u043e\u0440\u043e\u0448\u043e \u0438 \u043d\u0430\u0442\u0438\u0432\u043d\u043e \u0434\u043b\u044f ORM<\/strong>:<\/p>\n<ul>\n<li>\n<p><strong>Postgres RLS<\/strong> \u0441\u0438\u043b\u0451\u043d \u043d\u0430 \u0441\u0442\u0440\u043e\u043a\u0430\u0445, \u043d\u043e \u043d\u0435 \u0437\u043d\u0430\u0435\u0442 \u043f\u0440\u043e \u0440\u043e\u043b\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438 \u043d\u0435 \u043f\u043e\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043f\u043e\u043b\u044f\/\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f; \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0436\u0438\u0432\u0443\u0442 \u0432 \u0411\u0414, \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e \u043e\u0442 \u043a\u043e\u0434\u0430.<\/p>\n<\/li>\n<li>\n<p><strong>ABAC-\u0434\u0432\u0438\u0436\u043a\u0438 (Casbin, Oso)<\/strong> \u043c\u043e\u0449\u043d\u044b \u0438 \u0433\u0438\u0431\u043a\u0438, \u043d\u043e \u044d\u0442\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u0441\u043b\u043e\u0439 \u0441\u043e \u0441\u0432\u043e\u0438\u043c \u044f\u0437\u044b\u043a\u043e\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a: \u0440\u0430\u0441\u0442\u0451\u0442 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c, \u0430\u0443\u0434\u0438\u0442 \u0440\u0430\u0437\u043c\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043c\u0435\u0436\u0434\u0443 \u043c\u043e\u0434\u0435\u043b\u044c\u044e \u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439, \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u044c \u043f\u0430\u0434\u0430\u0435\u0442 \u0441 \u0447\u0438\u0441\u043b\u043e\u043c \u043f\u0440\u0430\u0432\u0438\u043b.<\/p>\n<\/li>\n<li>\n<p><strong>Pundit\/CanCanCan<\/strong> \u2014 \u043f\u0440\u043e \u043a\u043e\u0434-\u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438; \u0441\u043d\u043e\u0432\u0430 \u0438\u043c\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u0438 \u043d\u0435 \u043f\u0440\u043e \u043f\u043e\u043b\u044f\/\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u00ab\u0438\u0437 \u043a\u043e\u0440\u043e\u0431\u043a\u0438\u00bb.<\/p>\n<\/li>\n<\/ul>\n<p>\u0410 \u0443 \u043d\u0430\u0441 \u0443\u0436\u0435 \u0431\u044b\u043b \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 ORM (DotORM) \u0441 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 \u043c\u043e\u0434\u0435\u043b\u044f\u043c\u0438. \u041b\u043e\u0433\u0438\u0447\u043d\u043e \u0431\u044b\u043b\u043e \u0432\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f <strong>\u0432 \u0441\u0430\u043c\u0443 \u043c\u043e\u0434\u0435\u043b\u044c<\/strong>: ACL\/Rules \u043a\u0430\u043a \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u0432\u0435\u0440\u0445 \u043d\u0435\u0451, FAC \u043a\u0430\u043a \u0430\u0442\u0440\u0438\u0431\u0443\u0442 \u043f\u043e\u043b\u044f, VAC \u043a\u0430\u043a \u043c\u0435\u0442\u043e\u0434 \u043c\u043e\u0434\u0435\u043b\u0438. \u041f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u0442\u043e, \u0447\u0442\u043e \u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u0434\u0435\u0440\u0436\u0430\u0442\u044c \u0432 \u0433\u043e\u043b\u043e\u0432\u0435 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e \u043e\u0442 \u0434\u0430\u043d\u043d\u044b\u0445 \u2014 \u043e\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043e \u0442\u0430\u043c \u0436\u0435, \u0433\u0434\u0435 \u0438 \u0441\u0430\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u0435.<\/p>\n<hr\/>\n<h3>\u0418\u0442\u043e\u0433<\/h3>\n<p>\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u2014 \u044d\u0442\u043e \u043d\u0435 \u00ab\u0440\u043e\u043b\u0438 \u0438 \u0433\u0430\u043b\u043e\u0447\u043a\u0438\u00bb. \u042d\u0442\u043e <strong>\u0447\u0435\u0442\u044b\u0440\u0435 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u0432\u043e\u043f\u0440\u043e\u0441\u0430<\/strong>, \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043d\u0443\u0436\u043d\u043e \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043e\u0441\u043e\u0437\u043d\u0430\u043d\u043d\u043e:<\/p>\n<ol>\n<li>\n<p><strong>ACL<\/strong> \u2014 <em>\u043c\u043e\u0436\u0435\u0442 \u043b\u0438 \u0440\u043e\u043b\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0442\u0430\u0431\u043b\u0438\u0446\u0435\u0439?<\/em><\/p>\n<\/li>\n<li>\n<p><strong>RAC<\/strong> \u2014 <em>\u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0441\u0442\u0440\u043e\u043a\u0430\u043c\u0438?<\/em><\/p>\n<\/li>\n<li>\n<p><strong>FAC<\/strong> \u2014 <em>\u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u043c\u043e\u0436\u043d\u043e \u043c\u0435\u043d\u044f\u0442\u044c?<\/em><\/p>\n<\/li>\n<li>\n<p><strong>VAC<\/strong> \u2014 <em>\u043a\u0430\u043a\u0438\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u044b?<\/em><\/p>\n<\/li>\n<\/ol>\n<p>\u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u0438 \u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0440\u0438 \u043d\u0430 \u043e\u0442\u043a\u0443\u043f \u0445\u0430\u0440\u0434\u043a\u043e\u0434\u0443 \u2014 \u0441\u043e \u0432\u0441\u0435\u043c\u0438 \u0432\u044b\u0442\u0435\u043a\u0430\u044e\u0449\u0438\u043c\u0438 \u0434\u044b\u0440\u0430\u043c\u0438 \u0432\u0440\u043e\u0434\u0435 \u00ab\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0441\u0434\u0435\u043b\u0430\u043b \u0441\u0435\u0431\u044f \u0430\u0434\u043c\u0438\u043d\u043e\u043c\u00bb. \u0421\u043b\u043e\u0436\u0438\u0432 \u0447\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u0438 \u0437\u0430\u0432\u044f\u0437\u0430\u0432 \u0438\u0445 \u043d\u0430 \u0438\u0435\u0440\u0430\u0440\u0445\u0438\u044e \u0440\u043e\u043b\u0435\u0439, \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 RBAC, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u0442: \u0431\u044b\u0441\u0442\u0440\u044b\u0439 (\u0444\u0438\u043b\u044c\u0442\u0440\u044b \u0432 SQL, \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438), \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0438\u0440\u0443\u0435\u043c\u044b\u0439 (CTE + \u043a\u044d\u0448 + \u0448\u0438\u043d\u0430), \u0433\u0438\u0431\u043a\u0438\u0439 (\u043b\u044e\u0431\u0430\u044f \u0433\u0440\u0430\u043d\u0443\u043b\u044f\u0440\u043d\u043e\u0441\u0442\u044c) \u0438 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0439 (\u0442\u0440\u0438 \u043e\u0441\u0438 \u0438\u0437 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u2014 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u044b).<\/p>\n<p>\u041d\u043e \u0433\u043b\u0430\u0432\u043d\u0430\u044f \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u2014 \u0434\u0430\u0436\u0435 \u043d\u0435 \u0432 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430\u0445, \u0430 \u0432 <strong>\u043e\u0431\u0449\u0435\u043c \u044f\u0437\u044b\u043a\u0435<\/strong>. \u041a\u043e\u0433\u0434\u0430 \u0434\u043e\u0441\u0442\u0443\u043f \u0440\u0430\u0437\u043b\u043e\u0436\u0435\u043d \u043d\u0430 \u0447\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438, \u043f\u0440\u043e \u043d\u0435\u0433\u043e \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u0451\u0448\u044c \u0434\u0443\u043c\u0430\u0442\u044c \u0432 \u0441\u0442\u0438\u043b\u0435 \u00ab\u043a\u0430\u0436\u0435\u0442\u0441\u044f, \u0442\u0443\u0442 \u043d\u0430\u0434\u043e \u0447\u0442\u043e-\u0442\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c\u00bb. \u0412\u043e\u043f\u0440\u043e\u0441 \u0441\u0442\u0430\u0432\u0438\u0442\u0441\u044f \u0438\u043d\u0430\u0447\u0435: \u00ab\u043d\u0430 \u043a\u0430\u043a\u043e\u043c \u044d\u0442\u043e \u0443\u0440\u043e\u0432\u043d\u0435 \u2014 \u0442\u0430\u0431\u043b\u0438\u0446\u0430, \u0441\u0442\u0440\u043e\u043a\u0430, \u043f\u043e\u043b\u0435 \u0438\u043b\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435?\u00bb \u2014 \u0438 \u0441\u0440\u0430\u0437\u0443 \u044f\u0441\u043d\u043e, \u043a\u0443\u0434\u0430 \u043e\u043d \u043b\u043e\u0436\u0438\u0442\u0441\u044f \u0438 \u043a\u0442\u043e \u0437\u0430 \u043d\u0435\u0433\u043e \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442.<\/p>\n<hr\/>\n<blockquote>\n<p><em>FARA CRM \u2014 \u043e\u0442\u043a\u0440\u044b\u0442\u0430\u044f CRM \u0441 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c ORM \u0438 \u043f\u0440\u043e\u0434\u0443\u043c\u0430\u043d\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u0430. <\/em><a href=\"https:\/\/github.com\/shurshilov\/faracrm\"><em>GitHub<\/em><\/a>.<\/p>\n<\/blockquote>\n<\/div>\n<p>\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/1052068\/\">https:\/\/habr.com\/ru\/articles\/1052068\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0427\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0430: \u043a\u0430\u043a \u043c\u044b \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u043b\u0438 RBAC, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u0442 (\u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 FARA CRM)\u0422\u0440\u0435\u0442\u044c\u044f \u0441\u0442\u0430\u0442\u044c\u044f \u0432 \u0431\u043b\u043e\u0433\u0435 FARA CRM. \u0412 \u043f\u0435\u0440\u0432\u044b\u0445 \u0434\u0432\u0443\u0445 \u043c\u044b \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u0438 \u043f\u0440\u043e \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 \u0444\u0430\u0439\u043b\u0430\u043c\u0438 \u0438 \u043e\u0431\u0437\u043e\u0440 fara crm. \u0421\u0435\u0433\u043e\u0434\u043d\u044f \u2014 \u043f\u0440\u043e \u0442\u043e, \u0431\u0435\u0437 \u0447\u0435\u0433\u043e CRM \u043d\u0435\u043b\u044c\u0437\u044f \u0432\u044b\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u0432 \u043f\u0440\u043e\u0434: \u043f\u0440\u043e \u0440\u0430\u0437\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430. \u041d\u0435 \u00ab\u0440\u043e\u043b\u0438 \u0438 \u0433\u0430\u043b\u043e\u0447\u043a\u0438\u00bb, \u0430 \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u043d\u043e \u043f\u0440\u043e\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0438\u0437 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u043e\u0441\u0435\u0439.RBAC \u0437\u043d\u0430\u044e\u0442 \u0432\u0441\u0435. \u0412\u043e\u043f\u0440\u043e\u0441 \u2014 \u043a\u0430\u043a \u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c\u0421\u043f\u0440\u043e\u0441\u0438\u0442\u0435 \u043b\u044e\u0431\u043e\u0433\u043e \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0430, \u043a\u0430\u043a \u0440\u0430\u0437\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0438, \u2014 \u0443\u0441\u043b\u044b\u0448\u0438\u0442\u0435 RBAC: \u0440\u043e\u043b\u0438 \u0438 \u043f\u0440\u0430\u0432\u0430. \u041d\u043e RBAC \u2014 \u044d\u0442\u043e \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044f, \u0430 \u043d\u0435 \u0440\u0435\u0446\u0435\u043f\u0442. \u0421\u043e\u0432\u0435\u0442 \u00ab\u0437\u0430\u0432\u0435\u0434\u0438\u0442\u0435 \u0440\u043e\u043b\u0438 \u0438 \u0432\u044b\u0434\u0430\u0439\u0442\u0435 \u0438\u043c \u043f\u0440\u0430\u0432\u0430\u00bb \u043d\u0435 \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043d\u0438\u0447\u0435\u0433\u043e \u043e \u0442\u043e\u043c, \u043a\u0430\u043a \u044d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c, \u043a\u043e\u0433\u0434\u0430 \u0434\u043e\u0445\u043e\u0434\u0438\u0442 \u0434\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430.\u0410 \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0435 \u043f\u043e\u0447\u0442\u0438 \u0441\u0440\u0430\u0437\u0443 \u0432\u0441\u043f\u043b\u044b\u0432\u0430\u044e\u0442 \u0432\u043e\u043f\u0440\u043e\u0441\u044b, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0434\u0435\u043b\u044c \u00ab\u0440\u043e\u043b\u044c \u2192 \u043f\u0440\u0430\u0432\u043e\u00bb \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0435 \u043c\u043e\u0436\u0435\u0442:\u041c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0441 \u043b\u0438\u0434\u0430\u043c\u0438. \u0421\u043e \u0432\u0441\u0435\u043c\u0438 \u2014 \u0438\u043b\u0438 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u043e \u0441\u0432\u043e\u0438\u043c\u0438?\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u0443\u0435\u0442 \u0441\u0432\u043e\u0439 \u043f\u0440\u043e\u0444\u0438\u043b\u044c. \u0410 \u043f\u043e\u043b\u0435 \u00ab\u0420\u043e\u043b\u0438\u00bb \u0438\u043b\u0438 \u00ab\u0421\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u00bb \u0432\u043d\u0443\u0442\u0440\u0438 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u043e\u0444\u0438\u043b\u044f \u2014 \u0442\u043e\u0436\u0435 \u043c\u043e\u0436\u0435\u0442 \u043c\u0435\u043d\u044f\u0442\u044c? (\u0435\u0441\u043b\u0438 \u0434\u0430 \u2014 \u043e\u043d \u043e\u0434\u043d\u0438\u043c \u043a\u043b\u0438\u043a\u043e\u043c \u0441\u0434\u0435\u043b\u0430\u0435\u0442 \u0441\u0435\u0431\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u043c)\u0421\u0443\u043f\u0435\u0440\u0430\u0434\u043c\u0438\u043d \u0441\u043d\u0438\u043c\u0430\u0435\u0442 \u0430\u0434\u043c\u0438\u043d\u0441\u043a\u0438\u0435 \u043f\u0440\u0430\u0432\u0430. \u0410 \u0441 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0441\u0442\u0430\u0432\u0448\u0435\u0433\u043e\u0441\u044f \u0430\u0434\u043c\u0438\u043d\u0430? \u0421 \u0441\u0435\u0431\u044f?\u041a\u043b\u044e\u0447\u0435\u0432\u043e\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u0435: \u044d\u0442\u0438 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u2014 \u0440\u0430\u0437\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f. \u041e\u0434\u0438\u043d \u043f\u0440\u043e \u0442\u0430\u0431\u043b\u0438\u0446\u0443 \u0446\u0435\u043b\u0438\u043a\u043e\u043c, \u0434\u0440\u0443\u0433\u043e\u0439 \u043f\u0440\u043e \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443, \u0442\u0440\u0435\u0442\u0438\u0439 \u043f\u0440\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0435 \u043f\u043e\u043b\u0435, \u0447\u0435\u0442\u0432\u0451\u0440\u0442\u044b\u0439 \u043f\u0440\u043e \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435. \u00ab\u041f\u043b\u043e\u0441\u043a\u0438\u0439\u00bb RBAC \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u044e\u0442\u0441\u044f \u0432 \u0440\u043e\u0441\u0441\u044b\u043f\u044c if-\u043e\u0432 \u043f\u043e \u043a\u043e\u0434\u0443 \u2014 \u0430 \u044d\u0442\u043e \u043f\u0440\u044f\u043c\u043e\u0439 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 (\u0442\u043e \u0441\u0430\u043c\u043e\u0435 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0440\u043e\u043b\u0438 \u2014 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 privilege escalation \u0447\u0435\u0440\u0435\u0437 mass-assignment, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0432 2012-\u043c \u0432\u0437\u043b\u043e\u043c\u0430\u043b\u0438 GitHub).\u041c\u044b \u0444\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b\u0438 \u043e\u0442\u0432\u0435\u0442 \u0432 \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044e \u0438\u0437 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u043e\u0441\u0435\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u2014 \u0432\u043c\u0435\u0441\u0442\u0435 \u043e\u043d\u0438 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0432\u0441\u0435 \u0447\u0435\u0442\u044b\u0440\u0435 \u0443\u0440\u043e\u0432\u043d\u044f. \u042d\u0442\u043e \u043f\u043e-\u043f\u0440\u0435\u0436\u043d\u0435\u043c\u0443 RBAC, \u043f\u0440\u043e\u0441\u0442\u043e \u0434\u043e\u0432\u0435\u0434\u0451\u043d\u043d\u044b\u0439 \u0434\u043e \u043a\u043e\u043d\u0446\u0430. \u041e \u043d\u0451\u043c \u0438 \u043f\u043e\u0439\u0434\u0451\u0442 \u0440\u0435\u0447\u044c.\u041f\u043e\u0447\u0435\u043c\u0443 \u00ab\u0440\u043e\u043b\u044c \u2192 \u043f\u0440\u0430\u0432\u043e\u00bb \u2014 \u044d\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0435\u0440\u0432\u044b\u0439 \u0441\u043b\u043e\u0439\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 RBAC \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u2192 \u0420\u043e\u043b\u0438 \u2192 \u041f\u0440\u0430\u0432\u0430 (permissions)\u041c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u0443 \u0432\u044b\u0434\u0430\u043b\u0438 \u0440\u043e\u043b\u044c manager, \u0443 \u0440\u043e\u043b\u0438 \u0435\u0441\u0442\u044c \u043f\u0440\u0430\u0432\u043e lead.update \u2014 \u0437\u043d\u0430\u0447\u0438\u0442, \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u043c\u043e\u0436\u0435\u0442 \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u0438\u0434\u044b. \u041f\u0440\u043e\u0441\u0442\u043e, \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u0441\u043b\u0443\u0447\u0430\u0435\u0432.\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0442\u0430\u043a\u043e\u0435 \u00ab\u043f\u0440\u0430\u0432\u043e\u00bb \u2014 \u044d\u0442\u043e \u0433\u0430\u043b\u043e\u0447\u043a\u0430 \u0443\u0440\u043e\u0432\u043d\u044f \u0442\u0430\u0431\u043b\u0438\u0446\u044b \u0446\u0435\u043b\u0438\u043a\u043e\u043c. \u041e\u043d\u043e \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0440\u043e\u0432\u043d\u043e \u043d\u0430 \u043e\u0434\u0438\u043d \u0432\u043e\u043f\u0440\u043e\u0441: \u00ab\u043c\u043e\u0436\u0435\u0442 \u043b\u0438 \u0440\u043e\u043b\u044c \u0432 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c C\/R\/U\/D \u043d\u0430\u0434 \u044d\u0442\u043e\u0439 \u043c\u043e\u0434\u0435\u043b\u044c\u044e?\u00bb \u2014 \u0438 \u043d\u0430 \u044d\u0442\u043e\u043c \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f.\u0410 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f \u0436\u0438\u0432\u0443\u0442 \u043d\u0430 \u0447\u0435\u0442\u044b\u0440\u0451\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445: \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u2192 \u0441\u0442\u0440\u043e\u043a\u0430 \u2192 \u043f\u043e\u043b\u0435 \u2192 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435. \u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0435\u0440\u0432\u044b\u0439. \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0442\u0440\u0438 \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432 \u043e\u0441\u0435\u0434\u0430\u044e\u0442 \u043f\u0440\u044f\u043c\u043e \u0432 \u043a\u043e\u0434\u0435 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432:if not user.is_admin and lead.owner_id != user.id:    raise PermissionError()\u0422\u0430\u043a\u0438\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c: \u043e\u043d\u0438 \u0440\u0430\u0437\u0431\u0440\u043e\u0441\u0430\u043d\u044b \u043f\u043e \u0441\u043e\u0442\u043d\u044f\u043c \u043c\u0435\u0441\u0442, \u0438\u0445 \u043b\u0435\u0433\u043a\u043e \u0437\u0430\u0431\u044b\u0442\u044c \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c, \u0438\u0445 \u043d\u0435\u043b\u044c\u0437\u044f \u043f\u0440\u043e\u0430\u0443\u0434\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e. \u041c\u044b \u043f\u043e\u0448\u043b\u0438 \u0434\u0440\u0443\u0433\u0438\u043c \u043f\u0443\u0442\u0451\u043c \u2014 \u0440\u0430\u0437\u043b\u043e\u0436\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043d\u0430 \u0447\u0435\u0442\u044b\u0440\u0435 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0435 \u043e\u0441\u0438 \u0438 \u0441\u0434\u0435\u043b\u0430\u043b\u0438 \u043a\u0430\u0436\u0434\u0443\u044e \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439.\u0427\u0435\u0442\u044b\u0440\u0435 \u043e\u0441\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0430\u0427\u0442\u043e\u0431\u044b \u0431\u044b\u043b\u043e \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u044c\u0442\u0435 \u043e\u0445\u0440\u0430\u043d\u044f\u0435\u043c\u043e\u0435 \u0437\u0434\u0430\u043d\u0438\u0435:\u041e\u0441\u044c\u0410\u043d\u0430\u043b\u043e\u0433\u0438\u044f\u0412\u043e\u043f\u0440\u043e\u0441, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442ACL\u041e\u0445\u0440\u0430\u043d\u043d\u0438\u043a \u043d\u0430 \u0432\u0445\u043e\u0434\u0435\u041f\u0443\u0441\u0442\u044f\u0442 \u043b\u0438 \u0442\u0435\u0431\u044f \u0432 \u044d\u0442\u043e \u0437\u0434\u0430\u043d\u0438\u0435 (\u0442\u0430\u0431\u043b\u0438\u0446\u0443) \u0432\u043e\u043e\u0431\u0449\u0435 \u2014 \u0438 \u0447\u0438\u0442\u0430\u0442\u044c, \u0438\u043b\u0438 \u0435\u0449\u0451 \u0438 \u043c\u0435\u043d\u044f\u0442\u044c?RAC\u041f\u0440\u043e\u043f\u0443\u0441\u043a \u0432 \u043a\u043e\u043c\u043d\u0430\u0442\u044b\u0412 \u043a\u0430\u043a\u0438\u0435 \u0438\u043c\u0435\u043d\u043d\u043e \u043a\u043e\u043c\u043d\u0430\u0442\u044b (\u0441\u0442\u0440\u043e\u043a\u0438) \u0442\u044b \u043c\u043e\u0436\u0435\u0448\u044c \u0437\u0430\u0439\u0442\u0438?FAC\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0442\u0440\u043e\u0433\u0430\u0442\u044c\u0427\u0442\u043e \u0432 \u043a\u043e\u043c\u043d\u0430\u0442\u0435 \u0442\u0435\u0431\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043e \u0442\u0440\u043e\u0433\u0430\u0442\u044c (\u043f\u043e\u043b\u044f)?VAC\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0434\u0435\u043b\u0430\u0442\u044c\u0410 \u0438\u0437 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0442\u0440\u043e\u0433\u0430\u0435\u0448\u044c, \u043a\u0430\u043a\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u044b (\u043d\u0435\u043b\u044c\u0437\u044f \u0432\u044b\u043a\u0440\u0443\u0442\u0438\u0442\u044c \u0440\u0443\u0431\u0438\u043b\u044c\u043d\u0438\u043a \u0432\u0441\u0435\u0433\u043e \u0437\u0434\u0430\u043d\u0438\u044f)?\u042d\u0442\u0438 \u043e\u0441\u0438 \u043e\u0440\u0442\u043e\u0433\u043e\u043d\u0430\u043b\u044c\u043d\u044b: \u043a\u0430\u0436\u0434\u0430\u044f \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u0432\u043e\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0437\u043d\u0430\u0435\u0442 \u043e \u0434\u0440\u0443\u0433\u0438\u0445. \u0417\u0430\u043f\u0440\u043e\u0441 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0438\u0445 \u043f\u043e \u043e\u0447\u0435\u0440\u0435\u0434\u0438, \u043a\u0430\u043a \u0447\u0435\u0440\u0435\u0437 \u0447\u0435\u0442\u044b\u0440\u0435 \u043f\u043e\u0441\u0442\u0430 \u043e\u0445\u0440\u0430\u043d\u044b. \u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u043a\u0430\u0436\u0434\u0443\u044e.1. ACL \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0442\u0430\u0431\u043b\u0438\u0446\u0435ACL (Access Control List) \u2014 \u044d\u0442\u043e \u0431\u0430\u0437\u043e\u0432\u044b\u0439 \u0441\u043b\u043e\u0439, \u0442\u043e\u0442 \u0441\u0430\u043c\u044b\u0439 \u00ab\u043e\u0431\u044b\u0447\u043d\u044b\u0439 RBAC\u00bb. \u041e\u0434\u043d\u0430 \u0437\u0430\u043f\u0438\u0441\u044c ACL = \u0441\u0432\u044f\u0437\u043a\u0430 \u0440\u043e\u043b\u044c \u00d7 \u043c\u043e\u0434\u0435\u043b\u044c \u00d7 \u0444\u043b\u0430\u0433\u0438 CRUD.\u0412 FARA \u043f\u0440\u0430\u0432\u0430 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u043e, \u043f\u0440\u044f\u043c\u043e \u0432 \u043c\u043e\u0434\u0443\u043b\u0435, \u0447\u0435\u0440\u0435\u0437 \u043c\u0438\u043a\u0441\u0438\u043d:class LeadsApp(ACLPostInitMixin, App):    # \u041f\u0440\u0430\u0432\u0430 \u0434\u043b\u044f \u0431\u0430\u0437\u043e\u0432\u043e\u0439 \u0440\u043e\u043b\u0438    BASE_USER_ACL = {        &#171;lead&#187;: ACL.FULL,                                       # CRUD        &#171;lead_stage&#187;: ACLPerms(create=True, read=True,                               update=True, delete=False),    }    # \u041f\u0440\u0430\u0432\u0430 \u0434\u043b\u044f \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0440\u043e\u043b\u0435\u0439    ROLE_ACL = {        &#171;manager&#187;: {&#171;lead&#187;: ACL.NO_DELETE},   # \u0432\u0441\u0451, \u043a\u0440\u043e\u043c\u0435 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u044f        &#171;viewer&#187;:  {&#171;lead&#187;: ACL.READ_ONLY},   # \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0442\u0435\u043d\u0438\u0435    }\u0413\u043e\u0442\u043e\u0432\u044b\u0435 \u043f\u0440\u0435\u0441\u0435\u0442\u044b \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0442\u0438\u043f\u043e\u0432\u044b\u0435 \u0441\u043b\u0443\u0447\u0430\u0438 \u0438 \u0447\u0438\u0442\u0430\u044e\u0442\u0441\u044f \u043a\u0430\u043a \u043e\u0431\u044b\u0447\u043d\u044b\u0439 \u0442\u0435\u043a\u0441\u0442:\u041f\u0440\u0435\u0441\u0435\u0442CRUDACL.FULL\u2713\u2713\u2713\u2713ACL.READ_ONLY\u2014\u2713\u2014\u2014ACL.NO_DELETE\u2713\u2713\u2713\u2014ACL.NO_ACCESS\u2014\u2014\u2014\u2014\u0427\u0442\u043e \u0432\u0430\u0436\u043d\u043e: ACL \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab\u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0442\u0430\u0431\u043b\u0438\u0446\u0435\u0439 \u0432\u043e\u043e\u0431\u0449\u0435\u00bb. \u0412 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u0441 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c \u0440\u043e\u043b\u0438 ACL \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0431\u044b \u0448\u0442\u0430\u0442\u043d\u043e \u2014 \u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0435\u0441\u0442\u044c \u043f\u0440\u0430\u0432\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0442\u044c \u0441\u0432\u043e\u044e \u0437\u0430\u043f\u0438\u0441\u044c. \u0414\u0435\u043b\u043e \u043d\u0435 \u0432 \u043d\u0451\u043c; \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u043a\u0440\u044b\u0442\u044c \u0442\u0430\u043a\u043e\u0439 \u0441\u043b\u0443\u0447\u0430\u0439, \u043d\u0443\u0436\u043d\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043e\u0441\u0438.2. RAC \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0441\u0442\u0440\u043e\u043a\u0430\u043cRAC (Rules Access Control) \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab\u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0438\u043c\u0435\u043d\u043d\u043e \u0437\u0430\u043f\u0438\u0441\u044f\u043c\u0438 \u0442\u0430\u0431\u043b\u0438\u0446\u044b\u00bb. \u042d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 (Rule), \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u044e\u0442 \u043a \u0437\u0430\u043f\u0440\u043e\u0441\u0443 \u0444\u0438\u043b\u044c\u0442\u0440 \u2014 domain.\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u00ab\u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u0432\u0438\u0434\u0438\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0432\u043e\u0438 \u043b\u0438\u0434\u044b\u00bb:[[&#171;user_id&#187;, &#171;=&#187;, &#171;{{user_id}}&#187;]]{{user_id}} \u043f\u043e\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u043b\u0435\u0442\u0443. \u0410 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u00ab\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043c\u043e\u0436\u0435\u0442 \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0432\u043e\u0439 \u043f\u0440\u043e\u0444\u0438\u043b\u044c\u00bb \u2014 \u0442\u043e \u0441\u0430\u043c\u043e\u0435, \u0447\u0442\u043e \u0434\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u044d\u0441\u043a\u0430\u043b\u0430\u0446\u0438\u044e \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0441\u0442\u0440\u043e\u043a\u0438, \u043d\u043e \u043d\u0435 \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u043e, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043f\u0440\u043e\u0444\u0438\u043b\u044c \u0438 \u0431\u044b\u043b \u0435\u0433\u043e \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c:{  &#171;name&#187;: &#171;User can only edit own profile&#187;,  &#171;role_id&#187;: base_user_role_id,  &#171;domain&#187;: [[&#171;id&#187;, &#171;=&#187;, &#171;{{user_id}}&#187;]],  &#171;perm_update&#187;: True,}\u041a\u043b\u044e\u0447\u0435\u0432\u0430\u044f \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u043d\u0430\u044f \u0434\u0435\u0442\u0430\u043b\u044c: \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 SQL WHERE \u0438 \u0443\u0435\u0437\u0436\u0430\u044e\u0442 \u0432 \u0431\u0430\u0437\u0443. \u041c\u044b \u043d\u0435 \u0432\u044b\u0442\u0430\u0441\u043a\u0438\u0432\u0430\u0435\u043c \u0432\u0441\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0432 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u0442\u043e\u043c \u043e\u0442\u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432\u0430\u0442\u044c \u2014 \u044d\u0442\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u0438 \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u043e, \u0438 \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e. \u0411\u0430\u0437\u0430 \u0441\u0440\u0430\u0437\u0443 \u043e\u0442\u0434\u0430\u0451\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0451\u043d\u043d\u043e\u0435:SELECT &#8230; FROM leadsWHERE (\u0431\u0438\u0437\u043d\u0435\u0441-\u0444\u0438\u043b\u044c\u0442\u0440) AND (user_id = 42 OR team_id IN (1,2,3))\u0415\u0441\u043b\u0438 \u0443 \u0440\u043e\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0430\u0432\u0438\u043b \u043d\u0430 \u043e\u0434\u043d\u0443 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044e \u2014 \u043e\u043d\u0438 \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u044f\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 OR (\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043f\u043e\u043f\u0430\u0441\u0442\u044c \u043f\u043e\u0434 \u043b\u044e\u0431\u043e\u0435). \u0410 \u0434\u043b\u044f \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0435\u0441\u0442\u044c \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0435 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0432\u0440\u043e\u0434\u0435 @is_member (\u0447\u043b\u0435\u043d\u0441\u0442\u0432\u043e \u0432 \u0447\u0430\u0442\u0435\/\u043f\u0440\u043e\u0435\u043a\u0442\u0435) \u0438\u043b\u0438 @has_parent_access (\u043a\u0430\u0441\u043a\u0430\u0434 \u043f\u0440\u0430\u0432 \u0447\u0435\u0440\u0435\u0437 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044f). \u041d\u043e \u0441\u043d\u0430\u0440\u0443\u0436\u0438 \u044d\u0442\u043e \u0432\u0441\u0451 \u0442\u043e\u0442 \u0436\u0435 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0439 domain.3. FAC \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u043b\u044f\u043c\u0421\u0430\u043c\u0430\u044f \u043d\u0435\u0434\u043e\u043e\u0446\u0435\u043d\u0451\u043d\u043d\u0430\u044f \u043e\u0441\u044c. FAC (Field Access Control) \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab\u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438\u00bb \u043c\u043e\u0436\u043d\u043e \u043f\u0438\u0441\u0430\u0442\u044c. \u0418\u043c\u0435\u043d\u043d\u043e \u043e\u043d\u0430 \u043b\u043e\u0432\u0438\u0442 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0440\u043e\u043b\u0438 \u0438\u0437 \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0432\u044b\u0448\u0435: \u043f\u043e\u043b\u0435 \u00ab\u0420\u043e\u043b\u0438\u00bb \u2014 \u043e\u0431\u044b\u0447\u043d\u043e\u0435 \u043f\u043e\u043b\u0435 \u043f\u0440\u043e\u0444\u0438\u043b\u044f, \u0438 \u0431\u0435\u0437 FAC \u0435\u0433\u043e \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442.class User(DotModel):    # \u041c\u0435\u043d\u044f\u0442\u044c \u0440\u043e\u043b\u0438 \u043c\u043e\u0436\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u00ab\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a\u00bb    role_ids: list[&#171;Role&#187;] = Many2many(        role_update=&#187;system_admin&#187;,        &#8230;    )    # \u0421\u0442\u0430\u0432\u0438\u0442\u044c\/\u0441\u043d\u0438\u043c\u0430\u0442\u044c \u0441\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u2014 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c    is_admin: bool = Boolean(        default=False,        role_create=SUPERUSER,        role_update=SUPERUSER,    )\u0410\u0442\u0440\u0438\u0431\u0443\u0442\u044b role_read \/ role_create \/ role_update \u0437\u0430\u0434\u0430\u044e\u0442, \u043a\u043e\u043c\u0443 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0430 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f \u043d\u0430\u0434 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c \u043f\u043e\u043b\u0435\u043c. \u0421\u043b\u0443\u0447\u0430\u0439 \u0441 \u0441\u0430\u043c\u043e\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c \u0440\u043e\u043b\u0438 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u043e\u0439: role_update=&#187;system_admin&#187;. \u0422\u0435\u043f\u0435\u0440\u044c \u043e\u0431\u044b\u0447\u043d\u044b\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c, \u043f\u043e\u043f\u044b\u0442\u0430\u0432\u0448\u0438\u0439\u0441\u044f \u0432\u044b\u0434\u0430\u0442\u044c \u0441\u0435\u0431\u0435 \u0440\u043e\u043b\u044c, \u043f\u043e\u043b\u0443\u0447\u0438\u0442 \u043e\u0442\u043a\u0430\u0437 \u2014 \u043d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e \u0447\u0442\u043e \u0437\u0430\u043f\u0438\u0441\u044c \u0435\u0433\u043e \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u0438 ACL\/Rules \u0435\u0433\u043e \u043f\u0440\u043e\u043f\u0443\u0441\u0442\u0438\u043b\u0438.\u0422\u043e\u043d\u043a\u043e\u0441\u0442\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0447\u0435\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043e\u0442 \u00ab\u0432\u0440\u043e\u0434\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442\u00bb. \u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c \u043d\u0430\u0434\u043e \u043d\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u043b\u044f \u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u0435, \u0430 \u0435\u0433\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435. \u0424\u043e\u0440\u043c\u0430 \u043d\u0430 \u0444\u0440\u043e\u043d\u0442\u0435 \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u0435\u0442 is_admin \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0438 \u2014 \u0438 \u0435\u0441\u043b\u0438 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u044e\u0431\u043e\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u043b\u044f, \u0442\u043e \u00ab\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a\u00bb \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442 \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0434\u0430\u0436\u0435 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f (\u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0432 payload \u043f\u0440\u0438\u0435\u0434\u0435\u0442 \u043d\u0435\u0438\u0437\u043c\u0435\u043d\u0451\u043d\u043d\u044b\u0439 is_admin). \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 change-based:# \u0411\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u043b\u0435, \u0442\u043e\u043b\u044c\u043a\u043e \u0435\u0441\u043b\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u043e\u043c\u0435\u043d\u044f\u043b\u043e\u0441\u044cif cls._field_value_changes(field, name, payload, current):    # &#8230; \u0438 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u0435\u043f\u0435\u0440\u044c \u0441\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u0435\u043c, \u0432\u043f\u0440\u0430\u0432\u0435 \u043b\u0438 \u0440\u043e\u043b\u044c \u0435\u0433\u043e \u043c\u0435\u043d\u044f\u0442\u044c\u0425\u043e\u043b\u043e\u0441\u0442\u043e\u0439 \u043f\u043e\u0432\u0442\u043e\u0440 \u0442\u043e\u0433\u043e \u0436\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u2014 \u043d\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435, \u043e\u043d \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442. \u0411\u043e\u043d\u0443\u0441: \u0442\u0430\u043a \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0440\u0435\u0448\u0430\u0435\u0442\u0441\u044f \u0438 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u00ab\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u043f\u043e\u043b\u0435 \u0441 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435\u043c\u00bb \u2014 \u0435\u0441\u043b\u0438 \u0435\u0433\u043e \u043f\u0440\u0438\u0441\u043b\u0430\u043b\u0438 \u0431\u0435\u0437 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f, \u043e\u043d\u043e \u043d\u0435 \u0443\u043f\u0440\u0451\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443.4. VAC \u2014 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f\u043c\u0421\u0430\u043c\u0430\u044f \u0442\u043e\u043d\u043a\u0430\u044f \u043e\u0441\u044c. VAC (Value Access Control) \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0432\u043e\u043f\u0440\u043e\u0441 \u00ab\u043a\u0430\u043a\u0438\u0435 \u0438\u043c\u0435\u043d\u043d\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f\u00bb \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e \u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c \u0432 \u043f\u043e\u043b\u0435 \u2014 \u0434\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u043f\u0440\u0430\u0432\u043e \u0435\u0433\u043e \u043c\u0435\u043d\u044f\u0442\u044c \u0443 \u0442\u0435\u0431\u044f \u0435\u0441\u0442\u044c.\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0441\u0443\u043f\u0435\u0440\u0430\u0434\u043c\u0438\u043d \u0441\u043d\u0438\u043c\u0430\u0435\u0442 \u0433\u0430\u043b\u043e\u0447\u043a\u0443 is_admin. \u041f\u0440\u0430\u0432\u043e \u043d\u0430 \u044d\u0442\u043e \u043f\u043e\u043b\u0435 \u0443 \u043d\u0435\u0433\u043e \u0435\u0441\u0442\u044c (FAC \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u0435\u0442). \u041d\u043e \u0435\u0441\u0442\u044c \u0431\u0438\u0437\u043d\u0435\u0441-\u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u043b\u044c\u0437\u044f \u043d\u0430\u0440\u0443\u0448\u0430\u0442\u044c:if payload.is_admin is False:    # \u041d\u0435\u043b\u044c\u0437\u044f \u0441\u043d\u044f\u0442\u044c \u0430\u0434\u043c\u0438\u043d\u0430 \u0441 \u0441\u0430\u043c\u043e\u0433\u043e \u0441\u0435\u0431\u044f    if current_user.id == self.id:        raise FaraException(&#171;YOU_CANNOT_REVOKE_YOUR_OWN_ADMIN_STATUS&#187;)    # \u041d\u0435\u043b\u044c\u0437\u044f \u0443\u0434\u0430\u043b\u0438\u0442\u044c \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435    if active_admins_count &lt;= 1:        raise FaraException(&#171;CANNOT_REMOVE_THE_LAST_ADMINISTRATOR&#187;)\u0421\u044e\u0434\u0430 \u0436\u0435 \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432\u0440\u043e\u0434\u0435 \u00ab\u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u043c\u043e\u0436\u0435\u0442 \u043d\u0430\u0437\u043d\u0430\u0447\u0438\u0442\u044c \u0440\u043e\u043b\u044c, \u043d\u043e \u043d\u0435 \u0432\u044b\u0448\u0435 \u0441\u0432\u043e\u0435\u0439 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439\u00bb \u0438\u043b\u0438 \u00ab\u0441\u043a\u0438\u0434\u043a\u0443 \u0431\u043e\u043b\u044c\u0448\u0435 20% \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u00bb. \u042d\u0442\u043e \u043d\u0435 \u043f\u0440\u043e \u043f\u043e\u043b\u0435 \u043a\u0430\u043a \u0442\u0430\u043a\u043e\u0432\u043e\u0435, \u0430 \u043f\u0440\u043e \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u2014 \u043f\u043e\u044d\u0442\u043e\u043c\u0443 VAC \u0436\u0438\u0432\u0451\u0442 \u0432 \u0431\u0438\u0437\u043d\u0435\u0441-\u043b\u043e\u0433\u0438\u043a\u0435 \u043c\u043e\u0434\u0435\u043b\u0438, \u0440\u044f\u0434\u043e\u043c \u0441 \u0441\u0430\u043c\u0438\u043c \u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u043e\u043c, \u0430 \u043d\u0435 \u0432 \u043e\u0431\u0449\u0435\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u0435 \u043f\u0440\u0430\u0432.\u042d\u0442\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u043e\u0441\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u0438\u043c\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 (\u043a\u043e\u0434\u043e\u043c). \u0418 \u044d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e: \u0437\u043d\u0430\u0447\u0438\u043c\u044b\u0435 \u0438\u043d\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0440\u0430\u0437\u043d\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b, \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u0433\u043e\u043d\u044f\u0442\u044c \u0438\u0445 \u0432 \u0434\u0435\u043a\u043b\u0430\u0440\u0430\u0442\u0438\u0432\u043d\u0443\u044e \u0441\u0445\u0435\u043c\u0443 \u2014 \u043f\u043e\u043f\u044b\u0442\u043a\u0430 \u044d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043e\u0431\u044b\u0447\u043d\u043e \u0440\u043e\u0436\u0434\u0430\u0435\u0442 \u043d\u0435\u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 \u00ab\u0434\u0432\u0438\u0436\u043e\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u00bb, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043f\u043e\u043d\u0438\u043c\u0430\u0435\u0442.\u0422\u0430\u043a\u0436\u0435 \u0447\u0430\u0441\u0442\u044c \u044d\u0442\u043e\u0439 \u043b\u043e\u0433\u0438\u043a\u0435 \u043c\u043e\u0436\u0435\u0442 \u0443\u0445\u043e\u0434\u0438\u0442\u044c \u0432 \u0441\u0445\u0435\u043c\u044b \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u0438 (\u043f\u0438\u0434\u0430\u043d\u0442\u0438\u043a), \u043a\u043e\u0433\u0434\u0430 \u043c\u044b \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044e \u043d\u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0435 \u043f\u043e\u043b\u0435.\u042d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c RBAC \u2014 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e\u0434\u0443\u043c\u0430\u043d\u043d\u044b\u0439\u0422\u0435\u043f\u0435\u0440\u044c \u0433\u043b\u0430\u0432\u043d\u044b\u0439 \u0442\u0435\u0437\u0438\u0441. \u0412\u0441\u0451 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u043e\u0435 \u2014 \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u0430 RBAC, \u0430 \u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u0430\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f.\u041f\u043b\u043e\u0441\u043a\u0438\u0439 RBAC \u2014 \u044d\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0435\u0440\u0432\u0430\u044f \u043e\u0441\u044c (ACL). \u041e\u043d \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u00ab\u043c\u043e\u0436\u0435\u0442 \u043b\u0438 \u0440\u043e\u043b\u044c \u0442\u0440\u043e\u0433\u0430\u0442\u044c \u0442\u0430\u0431\u043b\u0438\u0446\u0443\u00bb \u0438 \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f. \u00ab\u041f\u0440\u043e\u0434\u0443\u043c\u0430\u043d\u043d\u044b\u0439\u00bb RBAC \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0435\u0449\u0451 \u0442\u0440\u0438 \u0438\u0437\u043c\u0435\u0440\u0435\u043d\u0438\u044f, \u0438 \u0432\u043c\u0435\u0441\u0442\u0435 \u043e\u043d\u0438 \u0434\u0430\u044e\u0442 \u043f\u043e\u043b\u043d\u0443\u044e \u043a\u0430\u0440\u0442\u0438\u043d\u0443:                \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510   \u0417\u0430\u043f\u0440\u043e\u0441  \u2500\u2500\u2500\u25ba \u2502 ACL    \u043c\u043e\u0436\u0435\u0442 \u0440\u043e\u043b\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0442\u0430\u0431\u043b\u0438\u0446\u0435\u0439?   \u2502 \u2500\u25ba \u043d\u0435\u0442 \u2192 403                \u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524                \u2502 RAC    \u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u0441\u0442\u0440\u043e\u043a\u0430\u043c\u0438?  (\u2192 SQL WHERE) \u2502 \u2500\u25ba \u0444\u0438\u043b\u044c\u0442\u0440                \u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524                \u2502 FAC    \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043e \u043c\u0435\u043d\u044f\u0442\u044c?      \u2502 \u2500\u25ba \u043d\u0435\u0442 \u2192 403                \u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524                \u2502 VAC    \u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e \u043b\u0438 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435?        \u2502 \u2500\u25ba \u043d\u0435\u0442 \u2192 403                \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518                                    \u2502                                    \u25bc                            \u0437\u0430\u043f\u0438\u0441\u044c \u0432 \u0411\u0414\u0418 \u0432\u0441\u0451 \u044d\u0442\u043e \u0437\u0430\u0432\u044f\u0437\u0430\u043d\u043e \u043d\u0430 \u0440\u043e\u043b\u0438 \u0441 \u043d\u0430\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435\u043c. \u0420\u043e\u043b\u044c \u043c\u043e\u0436\u0435\u0442 \u0440\u0430\u0441\u0448\u0438\u0440\u044f\u0442\u044c \u0434\u0440\u0443\u0433\u0443\u044e \u0447\u0435\u0440\u0435\u0437 based_role_ids: crm_admin \u2192 crm_manager \u2192 crm_user \u2192 base_user. \u041f\u0440\u0430\u0432\u0430 (ACL \u0438 Rules) \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u0434\u0435\u0440\u0435\u0432\u0443 \u043d\u0430\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043e\u0434\u043d\u0438\u043c \u0440\u0435\u043a\u0443\u0440\u0441\u0438\u0432\u043d\u044b\u043c SQL-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u043c (CTE) \u2014 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 N+1, \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e \u043e\u0442 \u0433\u043b\u0443\u0431\u0438\u043d\u044b \u0438\u0435\u0440\u0430\u0440\u0445\u0438\u0438.\u041f\u043e\u0447\u0435\u043c\u0443 \u00ab\u043e\u0431\u044b\u0447\u043d\u044b\u0439 RBAC \u043d\u0435 \u043f\u043e\u0434\u043e\u0439\u0434\u0451\u0442\u00bb? \u041f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043e\u043d \u0437\u0430\u0441\u0442\u0440\u0435\u0432\u0430\u0435\u0442 \u043d\u0430&#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-485076","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/485076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=485076"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/485076\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=485076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=485076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=485076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}