Права в 8.0 для реквизитов

Новый релиз позволяет реализовать то, что называется RLS – Record Level Security, или «ограничение доступа на уровне записей». Для каждого вида права из нижеперечисленных можно задавать ограничения:
· Чтение
· Добавление
· Изменение
· Удаление
----------------------------

Ограничения задаются не для конкретных записей (элементов справочника, документов, записей регистров), а для ПОДМНОЖЕСТВА, которое определяется условием выборки (ограничением). Ограничение задается с помощью подмножества языка запросов – конструкции ГДЕ.

Если условие дает значение ИСТИНА, то доступ разрешен, иначе – доступ запрещен.
----------------------------

Например,
"ГДЕ УровеньДоступа <= &МаксимальныйУровеньДоступа"

Здесь:
УровеньДоступа - реквизит справочника
МаксимальныйУровеньДоступа - параметр сеанса

----------------------------
Заданные ограничения добавляются системой к КАЖДОМУ запросу, даже тем, которые платформа генерирует самостоятельно для реализации пользовательского интерфейса или других функций. Отсюда – значительное снижение производительности.

----------------------------
Ограничения на доступ к данным работают в двух режимах:
· в режиме динамического списка производится простая фильтрация разрешенных записей, таким образом, пользователь просто не видит запрещенные данные.
· в режиме выборки – нарушение ограничения влечет за собой исключение, таким образом, запрос не будет выполнен вовсе, значит, практически все запросы конфигурации могут «налететь» на ограничение.
----------------------------

В язык запросов было введено новое ключевое слово «Разрешенные», которое пишется сразу после «Выбрать». Если оно указано, то запрос выбирает только разрешенные записи, а остальные «не видит».
Такое простое изменение конфигурации возможно путем замены в каждом запросе «ВЫБРАТЬ» на «ВЫБРАТЬ РАЗРЕШЕННЫЕ».

----------------------------------
Для реализации некоторых задач нужно отключить контроль прав доступа. Например, для реализации обмена данными, для контроля прав доступа средствами конфигурации и т.д. Таким образом, некоторый участок программного кода должен выполняться БЕЗ КОНТРОЛЯ ОГРАНИЧЕНИЙ. Это достигается размещением такого программного кода в общем модуле и установкой у него флага ПРИВИЛЕГИРОВАННЫЙ.

В трехзвенной архитектуре (клиент-сервер) привилегированные модули выполняются на сервере 1С:Предприятия 8.0.

-----------------------------------

Новую систему прав доступа нужно использовать очень осторожно и осмотрительно. Только для тех данных, для которых это необходимо.

Это может привести
· к резкому снижению производительности (спр. Контрагенты – 10 тысяч элементов, спр. Номенклатура – 30 тыс. элементов, регистр ЗначенияСвойствОбъектов – 50 тыс. записей).
· нарушению прав доступа в неожиданных местах, например, при формировании отчета по остаткам сработает ограничение на доступ к складам, возникнет - исключение.
· если используется ключевое слово Разрешенные или динамические списки, то возможны неожиданные визуальные эффекты:
- в справочнике с автонумерацией невозможно ввести новый элемент (поле Код недоступно для чтения, а система не может прочитать максимальный код, чтобы увеличить его на 1 и присвоить код новому элементу).
- в справочнике пропали все элементы, потому что при задании ограничения не был учтен доступ к ГРУППАМ иерархического справочника