Access subsystem

[DitriXNew]

Реализация механизма доступа данных.
Планы:

• 1. Документы
• 2. Справочники
• 3. Регистры
• 4. Прочее

Сама подсистема прав доступа основана на ключах доступа, и регистра сведений который эти ключи доступа проверяет.
Логика выглядит следующим образом:

1. Есть роли Template***, в них прописаны все доступы по типу данных.
2. Например TemplateDocument TemplateAccumulationRegisters
3. Так же есть роль TemplateBasicAccess, в ней описаны ключевые доступы к служебным объектам на уровне чтения.
4. В профилях доступа появилась вкладка доступа к объектам, в которой мы прописываем ключи доступа, значение доступа и признак модификации:

Key	Value	Modify
Company	SomeCompany1	false
Company	SomeCompany2	true
Branch	Branch1	false
Branch	Branch2	true

С такими настройками, посльзователь будет видеть документ по SomeCompany1, SomeCompany2, Branch1, Branch2 но, записывать сможет только по SomeCompany2 и Branch2.

Для объектов, которые имеют ссылки

При записи документа - система создает ключ доступа (или использует существующий) в спраовнике ObjectAccessKeys, куда попадает вот такой набор данных:

Т.е. при записи документа, система создает или подбирает нужный ключ, который записывается в регистр сведений T9100A_ObjectAccessMap, и потом, РЛС уже смотрит на этот ключ и принимает решение - давать доступ или нет.
При создании ключа, система идет в менеджер объекта и выполняет вот эту функцию:

Function GetAccessKey(Obj) Export
	AccessKeyMap = New Map;
	AccessKeyMap.Insert("Company", Obj.Company);
	AccessKeyMap.Insert("Branch", Obj.Branch);
	Return AccessKeyMap;
EndFunction

В каждом документе есть эта функция, и она возвращает соотвествие ключа и его значения, значением может выступить массив значений.
Если надо добавить отбор по сегменту пользователей, то в этой функции можно выполнить все нужные вычисления, добавить новый ключ, например ManagerSegment, и указать нужные сегменты.
Потом в профиле доступа использовать этот же ключ и указать необходимые сегменты менеджеров.

Регистры накоплений

Тоже самое касается и регистров накоплений. Только в них есть один доступ - чтение. В них запрещена запись в регистры или их просмотр. Так как документы всеравно проводятся в привелигированном режиме, а просто открывать список регистра пользователю с ограниченными правами - смысла никакого не имеет.

В каждый регистр добавленно измерение ObjectAccessKey, которое рассчитывается в момент записи регистра. И доступ идет по тем же правилам как и описанно выше.

Особенности системы:

1. Ключи проверяются по полному соответствию, это важно. Например, вы добавили новый ключ Partner, но его не прописали в профиле - тогда у вас не будет доступа к этим документам. Т.е. условие должно выполняться на 100%.
   Другой пример - у вас два склада, тогда оба этих склада должны быть прописаны в профилях доступа, иначе - вы не получите доступ к этим объектам.
2. Новый ключ можно добавить просто перехватив функцию в расширение GetAccessKey, и добавить нужные ключи. После этого надо запустить обработчик, которые перезапишет их.
3. Так как этот механизм работает не только на чтение, но и на создание, то сама запись в регистр идет в обработчике ПриЗаписи, и там идет проверка, что если у объекта нет ссылки, то ему устанавливается ссылка нового.