探討下下面這個(gè)例子:
1.背景:
一個(gè)系統(tǒng)面向2個(gè)對(duì)象,有下面這些權(quán)限
用戶:可以支付賬單��,可以申請(qǐng)開發(fā)票���,可以申請(qǐng)退款
管理員:可以同意申請(qǐng)并給用戶開發(fā)票�,可以同意并給用戶退款
2.疑問:
當(dāng)一個(gè)角色可以同時(shí)做用戶和管理員的事��,這樣的設(shè)計(jì)是否合理�����?
3.附加:
一般來說���,一個(gè)賬號(hào)同時(shí)涉及到管理員和用戶的權(quán)限是否會(huì)導(dǎo)致很大的安全風(fēng)險(xiǎn)��?
