epic-permissions

Skill do wdrażania systemu RBAC w Epic Stack. Nauczy Cię, jak jawnie definiować i sprawdzać uprawnienia użytkowników na serwerze i kliencie. Dowiesz się, jak tworzyć role, ograniczać dostęp do tras i akcji, oraz implementować granularne uprawnienia (własne vs dowolne). Wszystko oparte na zasadzie: jawne jest lepsze niż niejawne — każda kontrola dostępu powinna być widoczna i czytelna w kodzie.

1. Zapoznaj się z filozofią uprawnień Epic Stack: każda kontrola dostępu powinna być jawna i widoczna w kodzie, a nie oparta na niejawnych regułach. Unikaj ukrytych logik — zawsze wyraźnie sprawdzaj uprawnienia.

2. Zdefiniuj uprawnienia jako jawne stringi w formacie "akcja:encja:dostęp" (np. "delete:note:own"), gdzie akcja to operacja (delete, create, edit), encja to zasób (note, user), a dostęp określa zakres (own dla własnych zasobów, any dla wszystkich).

3. Implementuj sprawdzanie uprawnień na serwerze za pomocą funkcji requireUserWithPermission(), przekazując jawny string uprawnienia. Umieść sprawdzenie na początku akcji, przed modyfikacją danych.

4. Twórz role i przypisuj im zestaw uprawnień. Każdy użytkownik powinien mieć przypisaną rolę, która określa, jakie uprawnienia może wykonywać.

5. Dla granularnych uprawnień rozróżniaj między dostępem "own" (użytkownik może działać tylko na swoich zasobach) a "any" (użytkownik może działać na dowolnych zasobach). Zawsze sprawdzaj tę granulację jawnie w kodzie.

6. Testuj każdą ścieżkę dostępu — zarówno pozytywne (użytkownik ma uprawnienie), jak i negatywne (użytkownik nie ma uprawnienia) — aby upewnić się, że kontrola działa prawidłowo.