mysql - 在 SugarCRM ACL 访问角色中，当多个列表设置相同权限时，什么优先？

Question

SugarCRM ACL 系统的此 SQL 查询获取为特定 acl 访问角色列表设置的每个模块的权限。

aclAccess 和 access_override 列设置一个数值，该数值确定属于此访问控制列表的用户的该模块的权限。

我遇到的问题是一个用户可以属于多个访问列表。

假设用户属于 2 个列表，这两个列表都对模块操作设置了不同的权限。

我如何确定为用户申请和使用哪一个？有什么想法吗？

当2个或2个以上ACL访问角色对模块设置了不同的模块权限值，并且用户属于这些角色时，哪个权限优先使用？

<小时/>

示例

如果我属于 ACL 访问角色 A 和 B，并且 A 将潜在客户编辑权限设置为“否”，B 将其设置为"is"...我会为我的用户获得"is"或“否”编辑权限吗？

<小时/>

此 SQL 将返回所提供的 ACL 访问列表的权限
因此，我将在用户所属的每个列表上运行此查询以获取权限。

我的问题是，当其中超过 1 个列表在模块上设置相互冲突的权限时。在这种情况下，我不知道应该向用户 ACL 权限应用哪一个来查看页面。

SELECT acl_actions.*
 ,acl_roles_actions.access_override 
 FROM acl_actions 
 LEFT JOIN acl_roles_actions ON acl_roles_actions.role_id = '9eda04a8-a1b7-071b-3f2f-558f5c1aaec0' AND  acl_roles_actions.action_id = acl_actions.id AND acl_roles_actions.deleted = 0
 WHERE acl_actions.deleted=0 
 AND category='apoll_Web_Projects' 
 OR category='apoll_Web_Project_Files' 
 OR category='ProjectGanttChart' 
 ORDER BY acl_actions.category, acl_actions.name

view full size image

<小时/>

将权限号转换为字符串值映射...

 if(!defined('ACL_ALLOW_NONE')){
  define('ACL_ALLOW_ADMIN_DEV', 100);
  define('ACL_ALLOW_ADMIN', 99);
  define('ACL_ALLOW_ALL', 90);
  define('ACL_ALLOW_ENABLED', 89);
  define('ACL_ALLOW_OWNER', 75);
  define('ACL_ALLOW_NORMAL', 1);
  define('ACL_ALLOW_DEFAULT', 0);
  define('ACL_ALLOW_DISABLED', -98);
  define('ACL_ALLOW_NONE', -99);
  define('ACL_ALLOW_DEV', 95);
 }

Answer 1

应适用最严格的限制。

When a user belongs to multiple roles, the more restrictive setting prevails. For example, if a user is assigned to one role that restricts deleting accounts, and the same user is also assigned to a role that permits deleting accounts, the user will not be able to delete accounts because Sugar recognizes the most restrictive aspects of each assigned role. Access permissions for a particular user are displayed on their Sugar Users module record view.

https://support.sugarcrm.com/Knowledge_Base/Administration/Role_Management/Introduction_to_Roles/#Assigning_Multiple_Roles_to_a_User