Role-based Access Control は、ユーザと許可とを直接紐付けるのではなく、間に役割(Role)を挟みこんだ 3 段階の権限管理を行っています; 誰が何をできるか?という設定は緻密で具体的ではありますが、その繊細さゆえに設定ミスを誘発しがちになります。Role を挟むことにより、「その役割の人なら、これらの振る舞いが認可される」という関係性を定義することができるようになります。 たとえば異動したユーザに対して、許可をひとつひとつ剥がしてひとつひとつ付け直すよりも、役割を 1 つだけ付け直すほうが、明らかにミスが減りますよね。 セットアップ何を作るか?投稿管理システムを素振りしてみます。役割として「ビジター」「執筆者」「管理者」の 3 種類を想定し、それぞれの役割に応じて閲覧や操作の許可をコントロールできる機能を実装していきます; このスクリーンショットの場合は、執筆者
![Role-Based Access Control (RBAC) を実践する | suzukalight.com](https://cdn-ak-scissors.b.st-hatena.com/image/square/b2ce483ca72054767b1d434b5392ba179864c831/height=288;version=1;width=512/https%3A%2F%2Fsuzukalight.com%2Fcontents%2Fblog%2F2019-11-24-rbac-react-client%2Fhero.png)