为什么我不能通过模块签名拒绝权限？

Question

在添加签名的文档中，它们有以下警告：

模块签名只应用于授予权限，而不应用于拒绝或撤消权限。

我的问题是:为什么？在概念上，我认为签名可能会添加到用户令牌中。如果链接到签名模块的证书或密钥的用户拥有与其相关的拒绝权限，我认为它会随车而来。我的测试表明它没有，但我想了解为什么它没有。

Answer 1

IMHO，它只是对DENY或REVOKE通过签名模块的权限毫无意义。

签署模块的想法意味着授权给某些主体只做一些事情，而不是如果授予权限就可以执行的所有操作。因此，校长已经没有得到这一许可，我们正在寻找一种可能性来给予他这一许可，但只有在这个程序中，我们才能决定它能做什么和如何做。

因此，通过使用证书对过程进行签名，我们为执行者提供了它需要的一些权限，这样它就可以执行过程。但是，如果主体已经没有必要的权限，而我们撤销/拒绝更多的权限，我们将实现什么？

基本上，一个不能执行的过程有什么意义？并使用证书对其进行签名，该证书将撤销/拒绝在其中执行smth的权限？只是不要包含不应该做的actoin，而不是拒绝它。