복합 권한 부여는 정상입니다.

복합 권한 부여는 애플리케이션 인터페이스의 버튼 클릭과 같은 단일 사용자 활동에 대해 해당 활동의 허용 여부를 결정하기 위해 여러 개의 개별 권한 부여 쿼리가 필요할 때 발생합니다. 예를 들어 파일 시스템의 새 디렉터리로 파일을 이동하려면 세 가지 권한, 즉 소스 디렉터리에서 파일을 삭제하는 권한, 대상 디렉터리에 파일을 추가하는 기능, (애플리케이션에 따라) 파일 자체를 조작할 수 있는 권한이 필요할 수 있습니다.

권한 부여 모델을 처음 설계하는 경우 모든 권한 부여 결정을 단일 권한 부여 쿼리로 해결할 수 있어야 한다고 생각할 수 있습니다. 하지만 그로 인해 모델이 지나치게 복잡해지고 정책 설명이 복잡해질 수 있습니다. 실제로 복합 권한 부여를 사용하면 더 간단한 권한 부여 모델을 만드는 데 유용할 수 있습니다. 잘 설계된 권한 부여 모델의 한 가지 척도는 개별 작업으로 충분히 분해한다면 파일 이동과 같은 복잡한 작업을 직관적인 기본 요소 집합으로 표현할 수 있다는 것입니다.

복합 권한 부여가 발생하는 또 다른 상황은 권한 부여 프로세스에 여러 당사자가 관여하는 경우입니다. 사용자가 그룹의 구성원이 될 수 있는 조직 디렉터리를 생각해 보세요. 간단한 접근 방식은 그룹 소유자에게 다른 사람을 추가할 수 있는 권한을 부여하는 것입니다. 하지만 사용자가 먼저 추가에 동의하도록 하려면 어떻게 해야 할까요? 이 경우 사용자와 그룹 모두 멤버십에 동의해야 하는 핸드셰이크가 도입됩니다. 이를 위해 사용자에게 부여되는 또 다른 권한을 도입하여 사용자를 모든 그룹에 추가할 수 있는지 또는 특정 그룹에 추가할 수 있는지 지정할 수 있습니다. 이후에 호출자가 그룹에 구성원을 추가하려고 하면 애플리케이션은 양쪽의 권한을 모두 적용해야 합니다. 즉, 호출자에게 지정된 그룹에 구성원을 추가할 수 있는 권한이 있고 추가되는 개별 사용자에게는 추가될 수 있는 권한이 있어야 합니다. N방향 핸드셰이크가 있는 경우 핸드셰이크의 각 부분을 적용하기 위해 N개의 복합 권한 부여 쿼리를 확인하는 것이 일반적입니다.

여러 리소스가 관련되어 있고 권한을 모델링하는 방법이 명확하지 않다는 설계 문제가 있는 경우 복잡한 권한 부여 시나리오가 있다는 신호일 수 있습니다. 이 경우 작업을 여러 개의 개별 권한 부여 확인 작업으로 분해하여 해결책을 찾을 수 있습니다.