1.Почему у ABP есть роли и разрешения для управления авторизацией?В чем разница между ними?
Наличие ролей и разрешений позволяет администраторам гибко и легко контролировать авторизацию.
Разница в том, что авторизация зависит только от разрешений, а не ролей.
С https://aspnetboilerplate.com/Pages/Documents/Zero/Role-Management:
Роли используются для групповых разрешений .Когда у пользователя есть роль, у него / нее будут все разрешения этой роли.Пользователь может иметь несколько ролей.Полномочия этого пользователя будут объединять все полномочия всех назначенных ролей.
Например, модератору сайта может быть разрешено добавлять, редактировать и удалять любые сообщения, в том числе написанныедругие.Модератор сайта также может добавлять, редактировать и удалять комментарии.Если имеется несколько модераторов сайта, то для каждого пользователя может быть легко назначена роль, а не отдельные разрешения.
2.Разрешение обязательно принадлежит роли?И нужны ли роли обязательно разрешения?
Нет, разрешение может быть назначено непосредственно пользователю.
Нет, роли не нужны разрешения.Роль без полномочий похожа на должность (например, сотрудника).
С https://aspnetboilerplate.com/Pages/Documents/Zero/Permission-Management:
Разрешения роли
Если мы предоставим разрешение роли,все пользователи с этой ролью авторизованы для разрешения (если явно не запрещено для конкретного пользователя).
Полномочия пользователя
Хотя управление разрешениями на основе ролей можетможет быть достаточно для большинства приложений, нам может потребоваться контролировать разрешения для каждого пользователя.Когда мы определяем параметр разрешения для пользователя, он переопределяет параметр разрешения, определенный для ролей пользователя.
Кроме того, существуют также Роли подразделения организации (не документированоеще).То есть роль может быть назначена организационной единице, и считается, что пользователи в этой организационной единице имеют эту роль.