Řízení přístupu v malém intranetu

Zdravím,

rád bych se zeptal ostatních, jak by řešili následující problém. Stavím aplikaci, která rozlišuje tři typy uživatele: studenta, zaměstnance a správce.

O studentech systém eviduje jiné informace než o zaměstnancích. Student i zaměstnanec mohou být současně správci, správce nemusí být ani student, ani zaměstnanec. Část aplikace pro studenty je zcela jiná, než část zaměstnanecká, tzn. typ uživatele je více než „pouhá role“.

Za nejjednodušší řešení považuji definovat třídu Uživatel (impl. Nette\Security\IIdentity), která je společným rodičem tříd Student a Zaměstnanec. V databázi je hierarchie realizována jako Class Table Inheritance.

Řešení role správce je potom triviální: pro každý záznam v tabulce users je definována logická hodnota určující, zda má uživatel práva správce.

Uvědomuji si ale, že tento přístup je absolutně neflexibilní. Hrál jsem si s myšlenkou zavést (i přes výše uvedené) standardní přístup založený na rolích. Avšak vzhledem ke skutečnosti, že studenty a zaměstnance mám reprezentované rozdílnými třídami a rozdílnými tabulkami v databázi, zavedení rolí přinese paradoxy. (Nač rozlišovat role, je-li každá role reprezentována jinou třídou a počet rolí je konstantní?)

Můj další nápad byl použít pro všechny typy uživatele standardní Nette\Security\Identity a k datům přistupovat přes pole Identity::$data.

Problém lze zobecnit na „jak zavést role, pokud je každou třeba reprezentovat jinou třídou“. Mám stále pocit, že nejlepší řešení mi uniká.

Který přístup je podle vás nejlepší?