返回
漫谈权限系统之基于acl的实现 - search readpudncom

漫谈权限系统之基于acl的实现 - search readpudncom

ID:20730159

大小:48.50 KB

页数:6页

时间:2018-10-15

漫谈权限系统之基于acl的实现 - search readpudncom_第1页
漫谈权限系统之基于acl的实现 - search readpudncom_第2页
漫谈权限系统之基于acl的实现 - search readpudncom_第3页
漫谈权限系统之基于acl的实现 - search readpudncom_第4页
漫谈权限系统之基于acl的实现 - search readpudncom_第5页
资源描述:

《漫谈权限系统之基于acl的实现 - search readpudncom》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、漫谈权限系统之基于ACL的实现存档于本人电脑>技术文档>权限控制>漫谈权限系统之基于ACL的实现基于ACL的实现ACL介绍      ACL全称AccessControlList,在ACL中,包含用户(User)、资源(Resource)、资源操作(Operation)三个关键要素。通过将资源以及资源操作授权给用户而使用户获取对资源进行操作的权限,模型如下图所示:图表1ACL模型实现方案      通过上面对ACL模型的介绍,可以看出ACL是个简单的模型,但其并未提出对于权限的继承、权限的排斥和包含的解决方案。      ACL模型得到接受必然也是

2、有它的理由的,现在来看看基于ACL模型如何来实现授权模型和权限校验部分。l        授权模型授权模型遵循ACL模型进行搭建,建立ACL介绍中的模型。针对授权模型中的几个关键部分进行描述:n        授权根据ACL模型,授权动作主要经过以下几个步骤完成:u      配置系统资源和资源的操作按照模型维护Resource、Operation实体以及Resource与Operation的关联模型即可实现。u      授予用户能操作的资源和资源的操作按照模型维护用户与Resource以及Operation的关联即可实现。n        权限

3、的继承在ACL模型中未定义权限的继承,这也是由于在ACL的模型中根本就没有权限继承的点,因为用户本身是不可能继承的。在很多改良的ACL模型系统中,会通过给组或组织机构授权来完成,这时就出现了权限继承的点了,如组或组织机构的权限继承,那么在ACL模型中如何去实现这个权限继承呢?为实现给组或组织机构进行授权,此时通常需要对上述ACL模型进行改造方可实现,模型重构如下:图表2重构后的ACL模型在对组或组织机构进行授权动作时,经过以下步骤来实现权限的继承:u      维护当前组或组织机构中所有用户的ACL模型维护当前组或组织机构和Resource、Ope

4、ration的关联模型。递规获取当前组或组织机构的父节点的ACL模型,并合并形成新的Resource、Operation关联列表,此时获取该组或组织机构中的用户产生用户和Resource、Operation的关联ACL模型。u      维护当前组或组织机构中所有下级节点中的所有用户的ACL模型递规获取当前组或组织机构的子节点,同时合并形成子节点新的Resource、Operation关联列表,之后获取子节点中的用户产生新的Resource、Operation关联列表。在经过以上的步骤后权限的继承得以实现,在使用过程中同时发现另外一个问题,在更新组

5、或组织机构下的用户时需要同时维护当前组或组织机构的ACL模型,否则会造成不同步的问题。n        权限的排斥和包含权限的排斥和包含在ACL模型中同样没有定义,通常的实现方法是定义Operation的自关联,维护时需增加对Operation自关联的维护以及在维护User、Resource、Operation关联时根据Operation的自关联产生其包含权限的ACL列表。l        资源权限校验在以上授权模型的基础上,对于操作主体能否对资源进行操作权限的判断通过ACL列表直接判断用户是否具有对资源进行操作的权限即可。通常在中小型系统的做法是

6、在用户登录时获取构成用户的ACL列表,以提升资源权限校验的效率。l        数据权限校验在ACL模型中未明确定义数据权限校验的实现,根据数据权限校验的需求将数据映射为Resource,对数据的操作映射为Operation,这个时候数据权限的授权模型重构为:图表3数据权限的ACL模型      基于此模型对数据权限的授权和权限校验进行描述:n        授权在对数据进行授权时根据模型此时的授权对象主要有User、Group两种,授权时需要通过以下步骤来完成:u      维护数据本身构成的ACL模型维护当前数据、操作与Group、User的

7、关联模型。递规获取当前数据、操作的父节点的Group、User的关联模型,合并组成新的Group、User列表,根据此列表形成对当前数据进行操作的用户列表,此时更新形成UseràResourceàOperation的ACL列表模型。u      维护数据所有子节点的ACL模型递规获取数据的所有子节点,同时对合并形成每个子节点的新的Group、User列表,更新子节点的UseràResourceàOperation的ACL列表模型。在经过以上的步骤后数据权限的继承以及需求得以实现,在使用过程中同时发现另外一个问题,在更新组或组织机构下的用户时需要同时

8、维护当前组或组织机构的ACL模型,否则会造成不同步的问题。n        权限校验u      获取操作者权限范围内的全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。