因为安全组的同事已经做得相当好,“导致”我可以省掉Web框架的安全设计,也就是腾出了两天的空闲来——真是愉快啊^_^不过,积习难改,还是想尝试着用自己的语言把权限设计这块说明白。以下内容,部分思路来自我的同事,参考了jdon的讨论,并加上自己的一些思考。
需求
从用户角度看,可以描述为
对功能:
1、某人对某项功能可以执行某种操作;
2、某种职位对对某项功能可以执行某种操作;
对数据:
3、某人对某个表可以执行某种动作;
4、某人对某个字段可以执行某种动作;
5、某人对某部分记录可以执行某种动作;
6、某种职位对某个表可以执行某种动作;
7、某种职位对某个字段可以执行某种动作;
8、某种职位对某部分记录可以执行某种动作;
另外,从行政组织上看,人员可以按职位组织起来
总经理
|-总经理助理
|-部门经理1
|-副经理1
|--部门员工1
|--部门员工2
|-部门经理2
|--部门员工3
|--部门员工4
接下来,从系统角度看,描述如下:
1、功能必须拆分成为更新的可描述单位,在Web系统中,是page;
2、某人:user
3、某项功能=pages:resource
4、可以执行某种操作:privilege
5、某种职位:user group
6、表、字段、记录:resource
7、行政职位:position
分析设计
首先把资源的问题简单化,只考虑一种情况:以web page作为需要控制的resource。
让我们来考虑,这些东西怎么样才能有机合起来实现我们的控制逻辑。以两两绑定的方式:
1、resouce和privilege是可以绑定的,如:对page1的read权限,对page1的change权限,表示为(r:p){page1:read, page1:change};
2、user和上述(r:p)可以帮定,如George对对page1的read权限,George对page1的change权限,表示为(u:(r:p)){George:(page1:read),George:(page1:change)}
3、user和user groups存在包含关系,即userGroups={user1,user2,user3}
4、web page和module(指功能模块)存在包含关系,即module={page1,page2,page3}
5、position(指上边的行政职位)和user groups存在部分交集,但不等同。
结合1-4,我们已经找到一个比较自然的逻辑(u:(r:p))来表示我们的需求,这其中,user、resource、privilege都是比较清晰的概念,唯独role一直含混不清。事实上有两种:
1、行政职位——这是我们日常生活里在用的:George的role是部门经理,拥有对resouce的privilege,从这个语句上看,部门经理这个role和“对resouce的privilege”(r:p)是等同的吗?第一,总经理和部门员工都可能有这个(r:p);第二,另一部门的部门经理可能没有这个(r:p)。考虑对应的解决。对前者,部门经理自动拥有“部门员工”这个role的所有(r:p),总经理自动拥有“部门经理”这个role的所有(r:p);对后者,区分“部门A的经理”role和“部门B的经理”role。然而,还是有问题员工就不得不也分成“部门A的员工”,“部门B的员工”,那么“部门A的经理”虽然没有“部门A的经理”的(r:p),但拥有“部门B的员工”的(r:p),这时候怎么办?似乎越来越复杂,还是暂时抛开吧。
2、把(r:p)称作“role”,让(r:p)作为role与user/user group关联起来,职位部分的用user group来表示,如“部门A的员工”user group,“经理”user group,同时保留“部门A的经理”user。看起来这样子表示就比较简单明了,且慢,如果有1000项资源,每项资源有5种权限,那么……我们就有了1000*5=5000个role!这倒也罢了,总经理应该有全部的权限,那他就有了——5000个role!真是能者多劳啊!其实真要是全部5000个还好,要是4321个的话,配置人员可真够辛苦的了:得从5000个选项里挑出4321个指定给他,还不能眼花。
以上是我们能够想出的两种途径,我称之为“基于角色设置权限”和“基于权限设置角色”。我认为,授权系统里真正的麻烦就是在这里。暂时无解,只能是两害权衡,择其轻者。
实现
在我们这套系统里,最终选择了“基于权限设置角色”。虽然这种模式让我一想起来就觉得累,但比起“基于角色设置权限”让我一想起来就觉得乱,多少好一些。
授权系统有两种做法,1、编程实现;2、利用J2EE容器管理实现。对于web的内容,我们选择后者。
1、(r:p)=role,那么role-resource的关系存放在web.xml中,如下:
<security-constraint>
<web-resource-collection>
<web-resource-name>WebResourceCollection</web-resource-name>
<description>des</description>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<description>test</description>
<role-name>admin</role-name>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
2、在LDAP realm里存放user/user group-role,由此判断isUserInRole
3、由容器根据上两步的结果是否能够获得授权。
基本上就是这样子,更详细的我就不写了——写这么长的Blog已经很辛苦了^_^必须注意,这样设计之后,对于辅助配置工具的要求是非常高的,否则,根本不满足实用。