Настройка прав функционального доступа по слоям API и DATA¶
Вопрос: Какой механизм задания прав доступа при создании нового пользователя и новой роли?
Ответ: В Платформе действует разрешительная модель – если не выдано определенное разрешение, по умолчанию доступ запрещен. При заведении нового пользователя и роли необходимо выдать все необходимые для него разрешения.
Вопрос: Создано динамическое приложение с помощью Конструктора микрофронтов, но оно возвращает ошибку 500. Каковы возможные причины?
Ответ: Проблема может быть в том, что Конструктор микрофронтов (dh-facade-service) обращается к статическим сервисам Платформы. Если у пользователя отсутствует доступ на уровне API при обращении Конструктора микрофронтов к сервису, сервис вернет ошибку, которую Конструктор может интерпретировать как ошибку 500. Таким образом, при создании динамических приложений должны быть настроены права доступа для обращений динамических сервисов к статическим.
Вопрос: Можно ли выдать пользователю роль «dh-admin», а затем наложить на нее необходимые ограничения на слой API, чтобы не прописывать все разрешающие политики?
Ответ: Роль «dh-admin» является ролью суперпользователя и на нее не действуют ограничения на слое API. Теоретически такой способ настройки прав доступа возможен, однако рекомендуется создать отдельного пользователя с отдельной ролью и выполнить необходимые настройки.