ロール、権限、グループについて(私的メモ)

ロール:権限の集合。ユーザに割り当てられる
グループ:ユーザの集合。ロールが割り当てられる
ユーザ:ユーザの属するグループのロール(A)とユーザのロール(B)が適用される。
ユーザの権限:C - D
C 許可権限 Aの許可される権限とBの許可される権限の和集合
D 禁止権限 A,Bのいずれかにある禁止される権限の和集合
「許可が1つもないと拒否」「拒否が1つでもあると拒否」
http://www.atmarkit.co.jp/fnetwork/rensai/sql18/sql1.html
禁止権限を考えると面倒になるので、最初はすべて禁止とし、許可だけを与えて許可される権限の和とするのがわかりやすいと思う。(ZendframeworkのACLでそんなことを書いていたような)
CMSでは許可される(権限がある)かどうかで処理をわけるようにする。

考えがまとまっていないので、文章もまとまりがないですね・・・