Digamos que una aplicación web tiene cuatro roles de usuario. Estándar, Supervisor, Gerente y Administrador.
¿Debería un administrador ser capaz de promover a otra persona a un Administrador, o solo a un supervisor?
En la última situación, me doy cuenta de que, técnicamente, un administrador no podría crear ningún otro administrador, pero los administradores siempre podrían ser una excepción a la regla.
Aunque depende de usted, la manera común es que un usuario puede establecer otros usuarios iguales a ellos. Puede haber muchos administradores si se desea que sea así ...
Dar una regla más baja es un caso más difícil en mi opinión ... ¿Te hice administrador y me puedes des-admin? raro eh? bueno ... esto podría pasar ...
Entonces, sí, puedo establecerte igual a mí, de lo que puedes degradarme. Por lo tanto, tener un solo usuario maestro es más seguro. No es que no pueda haber muchos, pero tener muchos de ellos puede llevar a utilizar su aplicación / sitio web, etc. ...
Realmente depende de cómo quieras configurar las cosas. Si representa una estructura organizativa, es bastante típico que las personas no puedan promocionar a alguien a su propio nivel, ya que esto generalmente no tiene sentido comercial.
Por otro lado, si modela como activos, tiene sentido que alguien pueda permitir que otros usen cualquier cosa a la que tengan acceso.
También es posible hacer un híbrido de los dos enfoques en modelos de seguridad más avanzados porque puede otorgar a las personas la posibilidad de otorgar a los usuarios acceso a algo separado de su capacidad para acceder a él, pero esto es más seguridad basada en el usuario que roles (sin embargo, podría restringir que alguien le otorgue acceso a un recurso para un rol a pesar de su acceso a ese recurso).
No hay una respuesta correcta o incorrecta. Elija lo que mejor se adapte a sus necesidades de seguridad.
Lea otras preguntas en las etiquetas authorization user-management permissions