打算寫這篇部落格開始就在想,為什麼要存在許可權系統,不開發它不行嗎,它的存在能為我們帶來什麼?
還記得第一次敲「機房收費系統」的時候嗎,那個時候有三種使用者一般管理員、操作員、管理員。不同的使用者看的頁面不同,他們所擁有的操作就不同。這樣說來我們在很早以前就開始進行了許可權的設定,所以今天為大家講解許可權問題應該是很容易被理解的。
許可權的作用: 1
是為了讓使用者各司其職,只要管理好自己的一畝三分地就可以了。 2
它更是一種安全策略。使用者可以訪問而且只能訪問自己被授權的資源。
使用者登入後,判斷使用者是否存在,如果存在查詢使用者所具有的許可權,根據使用者的許可權做出不同的顯示。
許可權系統的具體操作,新增資源即許可權後,可以將許可權賦值給角色,將這個角色直接賦予了使用者,當使用者登入的時候,就可以根據角色的許可權展示了。這種方式是基於角色的訪問控制。而我們這次要做的許可權系統時既要基於角色又要基於許可權,它的意思是使用者可以通過通過中間的角色來獲得許可權,也可以直接將某項或某幾項許可權賦給使用者。
對於在企業環境中的訪問控制方法,一般有三種:
1.自主型訪問控制方法(dac/授權authorization)。目前在我國的大多數的資訊系統中的訪問控制模組中基本是借助於自主型訪問控制方法中的訪問控制列表(acls)。使用自主訪問控制機制,乙個使用者可以自主地說明其資源允許系統中哪些使用者以何種許可權進行共享。
2.強制型訪問控制方法(多級安全/multilevelsecurity)。用於多層次安全級別的軍事應用。在強制型訪問控制方法中,使用者和資源都是被賦予了固定的安全屬性,在每次訪問發生時,檢測安全屬性以便確定使用者是否具有權訪問該資源。
3.基於角色的訪問控制方法(rbac-role-basedaccess control)。是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特徵是:(1
)減小授權管理的複雜性,降低管理開銷。 (
2)靈活地支援企業的安全策略,並對企業的變化有很大的伸縮性。
資源:其實就是許可權,系統的所有許可權資訊。許可權的資源包括系統、模組、頁面和操作。許可權具有上下級關係,是乙個樹狀的結構。使用者有沒有這項操作,使用者能不能看到這個頁面,使用者
能不能具有這個模組。使用者所擁有的客體就是資源。這些講的都是功能許可權,還有一種資料許可權。
角色:角色就是一組資源。其實他就是對資源的一次整合,為了滿足業務需求,將這些資源整合成各種角色。
使用者:應用系統的具體操作者,使用者可以自己擁有許可權資訊,可以歸屬於0~n個角色,可屬於0~n個組。他的許可權集是自身具有的許可權、所屬的各角色具有的許可權、所屬的各組具有的許可權的合集。它與許可權、角色、組之間的關係都是n對n的關係。
組織:為了更好地管理使用者,對使用者進行分組歸類,簡稱為使用者分組。組也具有上下級關係,可以形成樹狀檢視。組也可以具有自己的角色資訊、許可權資訊。
授權:將資源的許可權分配給使用者,或將角色分配給使用者。這樣使用者就具有許可權。
1功能許可權與資料許可權不明確:
在需求分析的初期,大家對目前開發的許可權功能實現不夠明確,導致了一些理解上的偏差。目前的設計的許可權系統是在功能許可權的基礎之上的,基本沒有涉及到資料許可權的範圍。但是各個系統都是在資料許可權才能夠達到的高度進行討論,導致了許可權和子系統理解的不一致。討論過後,明確職責。
一直想找一本關於許可權的書看看,但是最後沒有找到,只能是通過一些部落格和文件來豐富自己關於許可權方面的了解。在了解乙個知識之前先不要關注與細節,不要關注於它怎麼實現的,先跳出了看看,以乙個局外之人的身份去審視它,會看到它的全面。
Liunx系統中使用者許可權和組許可權的簡介
首先我們要問什麼是使用者呢?使用者就是我們在liunx系統中建立的賬號,這個賬號與其它賬號共享檔案計算機的硬體和軟體資源 通常linux中不止乙個賬號 什麼是組呢?組跟我們所說的分組是乙個意思,像我們上小學,經常按座位分為一組 二組等等。但是在liunx中,通常是按許可權分組,那麼許可權又是什麼呢?...
linux許可權簡介
用ls命令所得到的表示法的格式是類似這樣的 rwxr xr x 下面解析一下格式所表示的意思。這種表示方法一共有十位 左起第1位表示檔案型別,可以為p d l s c b和 剩下的位數從左到右邊分別是 其中rwx 分別對應read 可讀 write 可寫 executable 可執行 命令 chmo...
許可權管理簡介
許可權管理屬於系統安全的範疇,是實現對使用者訪問系統的控制,可以按照安全規則或者安全策略控制使用者可以訪問而且只能訪問自己被授權的資源。許可權管理包括用 戶身份認證和授權兩部分,簡稱認證授權。對於需要訪問控制的資源使用者首先經過身份認證,認證通過後使用者具有該資源的訪問許可權方可訪問。一 認證流程 ...