探讨下下面这个例子：1.背景：一个系统面向2个对象，有下面这些权限用户：可以支付账单，可以申请开发票，可以申请退款管理员：可以同意申请并给用户开发票，可以同意并给用户退款2.疑问：当一个角色可以同时做用户和管理员的事，这样的设计是否合理？3.附加：一般来说，一个账号同时涉及到管理员和用户的权限是否会导致很大的安全风险？