Разделение доступа к частям приложения

В больших программах, с которыми работает много пользователей, всегда возникает задача разделения доступа разных категорий пользователей к разным частям программы: справочникам, документам , отчетам, подсистемам и т.п.  Конечно, эту задачу хочется решить таким образом, чтобы права доступа можно было оперативно менять без вмешательства программиста.   В этом разделе описывается мое решение задачи разделения доступа.

Основные положения  системы разделения доступа:

• При запуске приложения выполняется регистрация пользователя путем введения его login-a и пароля.  Конечно, войти в  программу может только зарегистрированный пользователь, который правильно ввел свой пароль.  Код пользователя запоминается в глобальной переменной.
• Любые изменения в Документах и основных Справочниках фиксируются в Журналах Операций, выполненных с данным объектом.  
• При отсутствии активности пользователя в течении некоторого времени (5-60 минут) производится автоматический выход из программы для предотвращения доступа постороннего лица когда "хозяина" нет на месте.  
• Все пользователи разделены на Категории доступа.  Каждой Категории доступа можно ограничить права на выполнение некоторых операций с Объектами доступа.  Объектами к которым можно ограничить доступ могут быть Документы, Окна, Отчеты и даже отдельные поля и пункты меню.
• Для Документов имеются операции Утверждения и Разутверждения.  Утвержденный документ изменять нельзя.  Доступ к выполнению операций Утверждения и Разутверждения можно запретить некоторым Категориям пользователей..
• Основное меню программы может оперативно настраиваться на каждом рабочем месте чтобы пользователь мог видеть только те документы и операции, которые ему разрешены.

Для реализации такой системы разделения доступа в программу введены следующие файлы:

• Справочник Сотрудников (пользователей)
• Справочник Категорий сотрудников
• Справочник Объектов доступа
• Справочник полномочий Доступа
• Журналы Операций с Документами и основными Справочниками

Справочник Сотрудников

В Справочнике Сотрудников содержится информация о каждом Сотруднике, включая его Код, Фамилию Имя Отчество, login, пароль и Категорию.   В окне регистрации, появляющимся при запуске программы, пользователь должен ввести свое регистрационное имя (login) и пароль.  Эти данные проверяются по Справочнику Сотрудников, и если они введены правильно, то производится запуск программы, а Код сотрудника запоминается в глобальной переменной G:SCode. 

Справочник Категорий сотрудников

С каждой Категорией сотрудников связан Список прав Доступа к различным Объектам системы.   Объектами системы могут быть Документы, Справочники, пункты Меню, Отчеты  и даже отдельные Поля. 

Справочник Объектов доступа

Справочник Объектов предназначен для хранения данных об Объектах системы, к которым можно запретить доступ различным Категориям Сотрудников.  Справочник Объектов имеет вспомогательную роль и не предназначен для редактирования конечными пользователями.  Для удобства поиска все Объекты делятся на несколько типов: Справочники, Документы, Поля, Отчеты и Пункты Меню

Справочник полномочий Доступа

Изменение прав доступа к Объектам системы для данной Категории Сотрудников производится  при помощи окна "Запрет доступа к Объектам системы", которое можно вызвать при помощи кнопки "Доступ"  в Справочнике Категорий сотрудников:

Для Объектов системы можно запретить следующие действия:

• Доступ полностью - запрещает открыть окно или видеть поле
• Добавление           - запрет операции "Добавить" в таблице
• Изменение             - запрет операции "Изменить"  в таблице
• Удаление               - запрет операции "Удалить"   в таблице
• Запись                     - запрет кнопки "OK" в форме.   Позволяет видеть запись, но редактировать нельзя
• Утверждение       - запрет операции "утверждения" для Документов
• Разутверждение  - запрет операции "утверждения" для Документов

В показанном  на рисунке примере для категории "Оператор" запрещены все операции  в Справочнике Сотрудников и Справочнике Участков, запрещена операция  Удаления записей в Справочнике Организаций и Справочнике Товаров и полностью запрещен доступ еще к пяти Справочникам. 

Установка и снятие запретов доступа к Объектам производится путем нажатия соответствующей кнопки со стрелкой в верхней части окна.   Рекомендуется не делать никаких ограничений для Администратора системы, иначе можно полностью потерять доступ к каким-либо объектам системы.

В распоряжении программиста имеется функция DostObj(), при помощи которой производится проверка прав доступа данного Сотрудника к данному Объекту.  В ней скрыты все обращения к файлам подсистемы разделения доступа.  Защищаемые процедуры могут ничего не знать даже о существовании этих файлов, им достаточно обратиться к функции DostObj().

DostObj( Obozn, CurKateg )   -   Проверить права доступа к объекту

Obozn       - Условное обозначение объекта в соответствии со Справочником Объектов.
CurKateg - Категория доступа текущего пользователя

Возвращает байт прав доступа.  Если нет никаких ограничений доступа, то возвращает нуль.   Каждый бит в байте возвращаемого значения отвечает за доступ к чему-либо следующим образом:

• Бит 1:  OpenFlag    - Запрещает доступ к объекту полностью (нельзя открыть окно)
• Бит 2:  InsertFlag   - Запрещает операцию добавления новой записи
• Бит 3:  ChangeFlag - Запрещает операцию изменения записи
• Бит 4:  DeleteFlag   - Запрещает операцию удаления записи
• Бит 5:  OkFlag         - Запрещает кнопку Ok в форме (возможен только просмотр)
• Бит 6:  UtwFlag        - Запрещает операцию Утверждения документа
• Бит 7:  RUtwFlag     - Запрещает операцию Разутверждения документа
• Бит 8:  PrintFlag      - Запрещает операцию Печати документа

Для вызова функции DostObj() имеются специальные шаблоны, которые анализируют ее возвращаемое значение и выполняют соответствующие ограничения доступа к объекту:

• DostupTabl      - проверка прав доступа к Таблице
• DostupForm     - проверка прав доступа к Форме
• DostupVedom  - проверка прав доступа к Ведомости Документов
• DostupField     - проверка прав доступа к заданному Полю

Журнал Операций с Документами и Справочниками

В Журнал Операций записываются все основные операции с данным Документом или Справочником с указанием даты, времени,   выполненной операции и фамилии сотрудника.  Журнал Операций представляет собой файл, связанный с файлом Документа или Справочника соотношением "Много к одному".  Я предоставляю доступу к записям Журнала Операций на отдельном листе (tab-e) формы записи Документа.   Обычно, редактировать записи Журнала Операций имеет право только Администратор.

Система разделения доступа реализована в виде отдельного модуля (DLL), содержащего все ее процедуры.  Исходные тексты модуля (Dictionary и Application) можно взять отсюда, вместе с демонстрационным примером реализации системы разделения доступа.