权限管理之基于ACL的实现:讲解授权、认证、获得用户权限过程

最新推荐文章于 2023-03-08 16:46:48 发布
最新推荐文章于 2023-03-08 16:46:48 发布
阅读量5.4k 收藏 3
点赞数 3
分类专栏: Java开发 文章标签: 权限管理 ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tch918/article/details/10019769
版权

权限管理模块的实现,需要多个用例:管理模块信息、管理用户信息、管理角色信息、给用户分配角色、给角色授权、给用户授权、获取用户授权列表、判断用户对某个模块的某操作是否允许授权

其中比较重要的是:授权、认证、获得用户拥有的所有授权。下面一一介绍:

 

授权过程

就是把系统现有模块授权给用户或角色

 

授权与取消授权的实现代码:

public void setPermission(int permission,boolean yes){  
        int temp = 1;  
        temp = temp << permission;  
        if(yes){  
            aclState |= temp;  
        }else{  
            aclState &= ~temp;  
        }  
    }

 

比如,setPermission(2,true)表示授予 update 权限。

一个int temp = 1的临时变量, aclState为原始授权状态

tmp的二进制表示是: 00000000 00000000 0000000000000001 

将tmp左移2位得到updatetemp = tmp < < 2; temp变成:00000000 00000000 00000000 00000100 ,而第三位代表的就是Update权限。所以也能得出,左移0123就能得到CreateDeleteUpdateSelect权限。

 

假设原始授权aclState=00000000 00000000 0000000000001010 

当变量yes=true时,为授权,将temp与aclState求|运算,因为temp现在只有他要授权的位为1,求或运算后,aclState=0000000000000000 00000000 00001110,这样就授权成功

当变量yes=false时,为取消授权,先将temp取反,即为1111111111111111 11111111 11111011,现在只有要取消权限的位为0,其余全为1,然后与aclState求&运算,则除了要取消权限的位变0,其余的都不变,即aclState=0000000000000000 00000000 00001010

 

授权过程



/**
 * 授权
 * @param principalType主体类型
 * @param principalSn 主体标识
 * @param resourceSn 资源标识
 * @param permission权限:C/R/U/D
 * @param yes是否允许,true表示允许;false表示不允许
 */
public void addOrUpdatePermission(String principalType, intprincipalSn,
int resourceSn, int permission, boolean yes) {
 
//根据主体标识和资源标识查找ACL实例
ACL acl = findACL(principalType, principalSn, resourceSn);
 
//如果存在ACL实例,则更新其授权
if(acl != null){
acl.setPermission(permission, yes);
getHibernateTemplate().update(acl);
return;
}
 
//不存在ACL实例,则创建ACL实例
acl = new ACL();
acl.setPrincipalType(principalType);
acl.setPrincipalSn(principalSn);
acl.setResourceSn(resourceSn);
acl.setPermission(permission, yes);
getHibernateTemplate().save(acl);
}

认证过程

判断用户对某个模块的某操作是否是允许的


认证的实现代码:

public int getPermission(int permission){  
         
//如果继承,则返回未定的授权信息
if(aclTriState == 0xFFFFFFFF){
return ACL_NEUTRAL;
}
        
 int temp = 1;  
    temp = temp << permission;  
 
    temp &= aclState;  
    if(temp != 0){  
        return ACL_YES;  
    }  
    return ACL_NO; 
}

如果继承,则返回未定的授权信息,需要进一步根据角色判断。

否则,直接将temp变量与aclState求&,temp为1的位为要验证的权限,其余全为0,如果aclState对应的这一位为1,则结果不为零,即有该操作权限;若aclState这一位为0,则结果为0,即没有该操作权限

 

认证过程


/**
 * 即时认证
 * 判断用户对某模块的某操作的授权(允许或不允许)
 * @param userId 用户标识
 * @param reourceSn 资源标识
 * @param permission 权限(C/R/U/D)
 * @return 允许(true)或不允许(false)
 */
publicboolean hasPermission(int userId, int resourceSn, int permission) {
 
//查找直接授予用户的授权
ACLacl = findACL(ACL.TYPE_USER, userId, resourceSn);
 
if(acl!= null){
intyesOrNo = acl.getPermission(permission);
 
//如果是确定的授权
if(yesOrNo!= ACL.ACL_NEUTRAL){
returnyesOrNo == ACL.ACL_YES ? true : false;
}
}
 
//继续查找用户的角色授权(优先级别由高到低)
Stringhql = "select r.id from UsersRoles ur join ur.role r join ur.user u "+
"whereu.id = ? order by ur.orderNo asc";
ListaclIds = getHibernateTemplate().find(hql, userId);
 
//依照角色优先级依次查找其授权
for(Iterator iter = aclIds.iterator(); iter.hasNext();) {
Integerrid = (Integer) iter.next();
acl= findACL(ACL.TYPE_ROLE, rid, resourceSn);
 
//一旦发现授权,即可返回结果
if(acl!= null){
returnacl.getPermission(permission) == ACL.ACL_YES ? true : false;
}
}
 
returnfalse;
}


获得用户拥有的所有授权过程

在用户登陆系统之后,需要根据用户的被授权情况,允许用户对这些模块进行操作。

要获得用户拥有的所有授权,可以分四个步骤进行

1、查找授予用户拥有的角色的所有权限列表(按优先级从低到高查找)

2、查找直接授予用户的权限列表(所有不继承的权限)

3、将这些授权依次合并。在合并过程中,优先级高的授权将覆盖优先级低的授权;直接授予用户的授权将覆盖继承而来的授权,从而达到不继承的目的。

4、至此,可以得到用户的授权列表,删除那些没有读取权限的授权,即可得到最终的列表

 

/**
 * 搜索某个用户拥有读取权限的模块列表(用于登录,形成导航菜单的时候)
 * @param userId 用户标识
 * @return 模块列表(即列表的元素是Module对象)
 */
publicList searchModules(int userId) {
 
//定义临时变量
Maptemp = new HashMap();
 
//按优先级从低到高查找用户拥有的角色
Stringhql = "select r.id from UsersRoles ur join ur.role r join ur.user u "+
"whereu.id = ? order by ur.orderNo desc";
ListaclIds = getHibernateTemplate().find(hql, userId);
 
//依次循环角色,合并权限,优先级高的授权将覆盖优先级低的授权
for(Iterator iter = aclIds.iterator(); iter.hasNext();) {
Integerrid = (Integer) iter.next();
 
//根据角色获得角色拥有的授权列表
Listacls = findRoleACLs(rid);
 
//把授权放入临时变量
for(Iterator iterator = acls.iterator(); iterator.hasNext();) {
ACLacl = (ACL) iterator.next();
//因为角色是按优先级从低到高遍历的,所以对于同一资源,优先级低的会被优先级高的覆盖
temp.put(acl.getResourceSn(),acl);        
}
}
 
//查找直接授予用户的授权列表
Listacls = findUserACLs(userId);
for(Iterator iter = acls.iterator(); iter.hasNext();) {
ACLacl = (ACL) iter.next();
//同样,对于同一资源,会覆盖掉继承而来的权限,从而达到不继承的目的
temp.put(acl.getResourceSn(),acl);        
}
 
//现在已获得用户拥有的所有授权(包括直接授予用户的以及用户继承角色的授权)
//遍历所有权限,如果没有读取权限,则在临时变量中删除这个授权
 
//遍历授权列表,如果没有读取权限,则临时存放在list中记录下来(map结构在遍历时进行remove操作会影响结果)
ListdelResources = new ArrayList();
Setentries = temp.entrySet();
for(Iterator iter = entries.iterator(); iter.hasNext();) {
Map.Entryentry = (Map.Entry) iter.next();
ACLacl = (ACL)entry.getValue();
 
if(acl.getPermission(Permission.READ)== ACL.ACL_NO){
delResources.add(entry.getKey());
}
}
 
//在临时变量中删除这些需要删除的授权
for(Iterator iter = delResources.iterator(); iter.hasNext();) {
Objectkey = (Object) iter.next();
temp.remove(key);
}
 
//如果授权列表是空的,则返回0长度的集合
if(temp.isEmpty()){
returnnew ArrayList();
}
 
//现在已获得用户拥有读取权限的授权
StringsearchModules = "select m from Module m where m.id in (:ids)";
returngetSession().createQuery(searchModules)
.setParameterList("ids",temp.keySet())
.list();
}

 这是授权、认证、获得用户权限过程的实现过程,也是权限管理最主要最复杂的地方 ,请关注下篇文章
时光在路上
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
网络层访问权限控制技术ACL详细讲解.pdf
05-04
网络层访问权限控制技术ACL详细讲解.pdf
ACL权限控制及V权限详解
最新发布
qq_42427162的博客
09-15 369
因此,r 权限主要关注文件的读取和文件夹的内容列出,而 v 权限主要关注用户是否能够通过 ls 命令看到文件或文件夹的存在。需要注意的是,这种 v 权限的定义并不是通用的,在不同的系统和环境中可能会有不同的定义和实现方式。默认情况下,ls 命令会根据文件或目录的权限设置以及当前用户的权限来决定是否将其显示为不同的颜色或以不同的方式突出显示。在大多数系统中,ACL 权限通常由 r、w、x 和 d 组成,它们的含义是相对固定的,而 v 权限并不是标准的 ACL 权限字符。对于文件,用户可以读取文件的内容;
实战:kafka、zookeeper SASL+ACL实现动态权限认证授权
u011618288的博客
02-18 6232
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL
位运算实现ACL授权认证过程的原理解析
实鼠不疫,牛转乾坤
09-30 3384
在任何权限管理系统中,ACL(Access Control List)都是非常重要且有不可或缺的。权限管理主要包括授权认证两大部分,下面就看ACL是如何实现授权认证的。 本文主要介绍了授权认证的概念,位运算基础的简单介绍,如何通过位运算进行授权认证。大家可以对照最后给出的位运算表格,对授权认证过程进行比对,看它们具体是如何实现的。
Zookeeper——ACL授权机制、四字命令
qq_41700030的博客
03-30 984
ACL授权机制 ACL主要是用来对zoolkeeper的某些节点进行加密授权作用 主要涉及到三个命令 getAcl 获取指定节点的ACL信息 setAcl 设置指定节点的ACL信息 addauth 给当前会话增加username1密码为password1的权限 这里主要结合setAcl和addauth介绍一下如何对指定节点进行加密授权访问 通过getAcl命令获取节点加密信息 [zk: local...
操作系统安全:设置NTFS权限.pptx
06-02
设置NTFS权限 设置NTFS权限 FAT16 FAT32 NTFS DOS √ × × WINDOWS 95 √ × × WINDOWS 97/98/ME √ √ × WINDOWS NT √ × √ × WINDOWS 2000 √ √ √ WINDOWS XP √ √ √ WINDOWS SERVER 2003 √ √ √ ×...
在IBMClearCase多站点环境中应用ACL实例
03-01
AccessControlList(ACL)是ClearCase8.0.1引入的最重要的新特性。通过Policy与Rolemap这两种对象,ACLs赋予了VOB元素更灵活、细粒度的权限控制。当前很多客户的生产环境规模庞大,往往使用多站点部署。探讨如何将ACLs...
ACL访问控制权限详解
近乎疯狂的H
01-31 3344
在普通权限中,用户对文件只有三种身份,就是属主、属组和其他人;每种用户身份拥有读(read)、写(write)和执行(execute)三种权限。但是在实际工作中,这三种身份实在是不够用,我们举个例子来看看。 图 1 ACL权限简介 图 1 的根目录中有一个 /project 目录,这是班级的项目目录。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员...
权限管理模型 ---- ACL、RBAC和ABAC(详解)
brother_Cheng_Py的博客
12-17 1万+
前言 在管理系统中会涉及到很多用户权限相关问题,对于不同的系统所使用的的权限管理模型也是多样的。 ACL 基于用户的权限管理模型 基于用户的概念就是说直接对用户进行权限分配管理,好处是模型构建简单,只需要给用户授予或者取消对应权限即可。但是相对的,如果用户数量庞大的情况下,这套模型就很不实用。因为需要对每一位用户对应权限进行维护,这导致维护成本太高。 ACL模型表结构很简单,只需要用户user表和权限节点node以及user和node的多对多关系表us...
学习笔记:ACL详解
weixin_33769207的博客
09-06 700
Linux权限非常的重要,正常情况下一个文件或目录有三种角色,分别为:目录或文件拥有者(User)、所属群组(Group)、其他用户(Other),每个角色对应:读、写、可执行(rwx)。这也是我们最常见的权限,#ls -l所看到第一列内容。第一位是文件类型,如:d是目录、-是普通文件、l是链接文件、c是字符文件、b是块文件等。 剩下9位即是文件对应三种角色的权限。如下图:...
pacemaker之ACL权限验证
u011153166的博客
01-27 380
acl作为pacemaker集群的一个可选特性,默认是处于disable状态 如果acl设置为disable状态,root用户和haclient组成员对cluster配置有全部的read/write 访问权限 如果acl设置为enable状态并且进行了acl配置,仅有root和hacluster用户对cluster配置有全部的read/write 访问权限 访问权限分为read,write,deny三种kind,对象可以是type, ID reference, 或者 XPath 表达式 acl创建.
ACL授权实例
实鼠不疫,牛转乾坤
10-31 3919
上一篇关于ACL的文章中:位运算实现ACL授权认证过程的原理解析,我们学习了通过位运算实现ACL授权认证的原理核心,今天我们一起来看授权的实例。 下面是Manager层的实现: package com.lzq.manager.impl; import java.util.List; import com.lzq.model.ACL; /** * 主体授权管理实现 *
acl权限控制
Hello World
04-25 958
5.zookeeper的acl权限控制 5.1概述 zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么 如何做到节点的权限的控制呢? zookeeper的access control list 访问控制列表可以做到 这一点。 acl 权限控制,使用scheme:id:permission 来标识,主要涵盖 3 个方面: 权限模式(scheme):授权的...
ACL系统授权认证
zfq642773391的专栏
04-09 2755
一条acl授权记录中主要记录了以下信息: 角色资源授权 授权作为一个int, 每一位是一个操作的权限. 假设从右向左, 分别代表CRUD 那么, 我们CRUD的代码就应该是0123(也就是移位时要移的位数), 因为我们要进行移位进行认证。先看授权与取消授权的代码:public void setPermission(int permission,boolean yes){ int te
ACL权限列表的常见配置
qq_40628106的博客
10-15 1万+
一:什么是ACL:         定义: ACL(Access control  list),即访问控制列表,它是一系列规则的集合,ACL通过这些规则对不同的报文分类,进而对不同的报文进行不同的处理。       ACL的基本原理:它负责管理用户配置的所有的规则,提供报文匹配规则的算法。       ACL规则的匹配: 报文到达设备后,设备从报文中提取信息,并将提取到的报文与ACL规则进行...
【项目实践】后台管理系统前后端实践一:权限控制原理
发果叁
03-08 1718
整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。有需要的小伙伴,可以点击文末卡片领取这份文档,无偿分享部分文档展示:文章篇幅有限,后面的内容就不一一展示了有需要的小伙伴,可以点下方卡片免费领取。
ACL最全详解:原理及作用、分类及特点、配置及需求
热门推荐
最铁头的网工博客
04-29 2万+
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。 为什么需要ACL? 根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能
ACL权限实例讲解之基础一
杂货铺的少掌柜
07-25 1162
本文讲解Linux系统中的ACL权限。 首先,我们要明白什么是ACL权限。ACL的英文说法是”access control list”,翻译为中文是”访问控制列表”的意思。其实说的就是某一特定用户对某一特定文件的操作权限。下面用2个实际的例子讲解一下: 怎样使得qs这个用户对root用户的acltest1文件有读写权限(qs这个用户和root用户不在同一个用户组里边,也就是说,对于aclte
如何实现访问控制列表(ACL):某些操作系统支持访问控制列表(ACL),您可以使用 ACL 来限制对文件的访问。通过设置适当的 ACL 权限,只允许授权的用户或组进行读写操作。
07-15
实现访问控制列表(ACL)来限制对文件的访问,您可以按照以下步骤进行操作: 1. 确定您使用的操作系统是否支持ACL。常见的操作系统如Windows和Linux都支持ACL。 2. 找到要设置ACL的文件或目录。 3. 使用适当的命令或工具来设置ACL权限。下面是一些常见操作系统的示例: - Windows: - 使用命令行工具icacls:可以使用icacls命令来设置ACL权限。例如,要允许特定用户对文件进行读写操作,可以使用以下命令: ``` icacls filename /grant username:(permissions) ``` 其中,`filename`是要设置ACL的文件名,`username`是要授权的用户或组名,`permissions`是要授予的权限(如`read`、`write`等)。 - Linux: - 使用命令行工具chmod和setfacl:可以使用chmod命令来设置基本的文件权限,然后使用setfacl命令来设置额外的ACL权限。例如,要允许特定用户对文件进行读写操作,可以使用以下命令: ``` chmod 700 filename setfacl -m u:username:rw filename ``` 其中,`filename`是要设置ACL的文件名,`username`是要授权的用户,`rw`表示读写权限。 4. 验证ACL权限是否生效。您可以使用适当的命令或工具来检查ACL权限是否正确设置。 请注意,具体的ACL设置方法可能因操作系统而异,上述示例仅供参考。建议您参考操作系统的文档或相关资源,以获得更详细和准确的ACL设置方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值