許可權管理:
一:2、 許可權的意思就是對某個資源的某個操作,現在規定:
a) 所謂資源,即系統的模組
b) 所謂操作,包括:增加、刪除、修改、查詢等操作
3、 許可權管理系統的總體功能分為:授權與認證
4、 授權,指將許可權授予角色或使用者
a) 如果使用者a擁有角色b、角色c,那麼,預設的情況下,使用者a將擁有被分配給角色b和角色c的所有許可權(即預設情況下,使用者a繼承其擁有的角色所具有的所有許可權)
b) 如果使用者擁有多個角色,那麼使用者的許可權是這些角色許可權的合集
c) 如果使用者擁有多個角色,而且角色之間的授權有衝突(比如對同乙個資源的同乙個操作,乙個角色為「允許」,另外乙個角色為「不允許」),將以優先級別高的角色為準(所謂優先級別,也就是對於這個使用者所擁有的角色而言,是有順序的,同乙個角色在不同的使用者那裡可能擁有不同的優先順序)
d) 除了可以對角色進行授權外,也可以針對使用者進行授權,也就是說,將許可權授予使用者。針對某個資源的所有操作,我們可以設定這些許可權對使用者來說是「繼承」或「不繼承」
i. 繼承:意思是這些許可權將使用其(即使用者)所擁有的角色的許可權,而不使用其(即使用者)單獨設定的許可權
ii. 不繼承:意思是這些許可權將使用其單獨設定的許可權,而不使用其所擁有的角色的許可權
5、 認證,指使用者訪問資源的某些操作時,根據授權,判斷是否允許使用者的訪問
a) 在使用者訪問的時候,需要進行即時的判斷(是否有權訪問)
b) 應該提供查詢的功能,可以查詢某個使用者所擁有的所有許可權
總體上,可分為模組管理、角色管理和使用者管理模組:
二:
建立 乙個acl(許可權控制列表)類--許可權管理的核心
這個類的乙個例項表示它的某個使用者或某個角色對於某個模組的授權情況(授權狀態)
注意:是某個使用者或某個角色對於某個模組
public class acl else
}/**
* 獲取是否可以操作模組的值acl_yes=1可以 acl_no=0不可以
* @param permission
* @return
*/public int
getpermission(
intpermission)
int temp = 1;
temp <<= permission;
temp &=
aclstate
;//(temp > 0)就是duic都不是0000
if(temp > 0)
else}
三:
如果extendsstate為1則actstate無效(因為aclstate是user自己的),它將使用role的許可權
表中表示user5對modu10繼承對module11不繼承
對目錄許可權的理解
問題描述 研究setfacl命令時,發現乙個問題,即設定了乙個檔案的acl許可權之後,這個許可權仍不能生效。例如,對 root test檔案做了setfacl m u user1 rwx root test之後,user1仍是不能訪問檔案test。思考之後覺得是目錄的問題,即user1對 root ...
對Linux檔案許可權的理解
444 r r r 600 rw 644 rw r r 666 rw rw rw 700 rwx 744 rwxr r 755 rwxr xr x 777 rwxrwxrwx 注 使用ll命令檢視檔案 資料夾屬性時候,一共有10列,第乙個小格表示是資料夾或者連線等等 d表示資料夾,l表示連線檔案,表...
對bo許可權的初步理解
2011 06 09 18 59 23 分類 預設分類 字型大小 訂閱 bo中的許可權管理,在專案實施中是乙個嚴謹的系統工程,對許可權規劃應該根據不同企業的具體情況進行部署 根據本週測試,本人總結bo中許可權控制可以分為六層 第一層,許可權根據具體使用者應有屬性,把操作介面即模組作為一層控制點進行控...