hn..

pytanko takiej masc

user U, nalezacy do 2 grup uzytkwoników A i B

moduł X, grupa A ma dostap do modułu, grupa B nie ma...

user U chce dostapy do X, poscic go czy nie ;>

nie wiem jak to zaimplementowac aby bylo najlepie...

Nie powinieneś dopuszczac do czegoś takiego.. twój system powinien wyłapywać takie konflikty. Radzę poczytać o phpGACL

Bardziej rozsądne jest nadawać grupom uprawnienia zezwalające na dostęp, a uprawnień nie zezwalających nie używać. Wtedy grupa A może posiadać uprawnienia zezwalające na dostęp do modułu X. Użytkownik należy do grupy A, a co za tym idzie - posiada uprawnienia dostępu do modułu X. Wtedy jego członkostwo w grupie B nie żadnego ma znaczenia.

chcialem wdrozyc u Siebie wpasnie phpGACL ale nie moge zainstalowac mam blad(pisalem o tym na forum)

no ale powidzmy ze teraz grupa B jest w Grupie A, czyli A jest rodzicem B, co wtedy?

Według GACL, gdy B jest dzieckiem A dziedziczy pozwolenia/zakazy po rodzicu - chyba, że ma własne zdefiniowane. To znaczy, że w twoim wypadku B nie ma dostępu do modułu X. Hmmmm, chyba, że jak piszesz, że grupa B nie ma dostępu to chodzi Tobie o to, że nie ma go zdefiniowanego (a nie jak ja to zrozumiałem, że ma zakaz)? Jeżeli B jest dzieckiem A (ktore ma pozwolenie), B dziedziczy je.

edit:
Odnosnie pierwszego pytania (mam nadzieję, że czytałeś ten tekst o phpGACL?) parafrazując: "Jeśli teraz zapytamy phpGACL „Czy użytkownik U ma dostęp do modułu X?” zwrócony rezultat będzie rezultatem danym przez ostatni wpis ACL." Czyli, jeżeli A ma ALLOW: X, a potem dodałeś dla B DENY: X to zakaz będzie miał priorytet.

I jeszcze wyjaśniając ( apropos tego, że mogłem Ciebie nie zrozumieć), gdy użytkownik U należy dpo A i B - A ma zdefiniowane polecenie ALLOW: X, a B nie posiada żanego polecenia związanego z X, to użytkownik U ma pozwoleni na użycie modułu X.

GACL to bardzo potezna biblioteka, wykorzystajaca adodb i smarty.

Czy oplaca sie ja wdrazac do systemu? Jak wy rozwiazujecie uprawnienia u siebie?