Варианты распределения прав в системах

Система поддерживает простую реализацию достаточно сложных правил доступа.

Ниже перечислены примеры реализаций прав доступа в различных системах:

обычный пользователь (гость)
зарегистрированный пользователь, может добавлять посты, редактировать свои посты, добавлять комментарии
модератор, может редактировать все посты, редактировать комментарии

обычный пользователь (гость)
пользователь на шаге confirm email не может ничего, кроме просмотра ссылки
пользователь, попытавшийся зарегистрироваться, но аккаунт которого пока не одобрен
точка входа общая (кроме рута)
администратор может создавать разделы (форумы)
рут является администратором всегда
пользователь может писать посты, ответы, редактировать свои посты и ответы
администратор может назначать пользователям права модератора раздела (не модератора вообще)
модератор раздела может редактировать любое сообщение в разделе, а также удалять его

система состоит из разделов, в каждом разделе есть категории, в которых находятся документы
гость перенаправляется на страницу входа
пользователь может состоять в одной или нескольких группах
группа имеет доступ к одной или нескольким категориям с различными ролями на запись, на чтение, на администрирование (раздача прав).
группа имеет доступ к одной или нескольким разделам с различными ролями на запись, на чтение, на администрирование (раздача прав).
группа, имеющая доступ к разделу, автоматически имеет доступ ко всем категориям
группа, имеющая доступ к категории, автоматически имеет доступ ко всем документам
рут имеет доступ ко всем разделам и категориями в режиме на администрирование (раздача прав)