AGILEJ的权限控制

最新推荐文章于 2024-06-17 14:41:35 发布
最新推荐文章于 2024-06-17 14:41:35 发布
阅读量87 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/postback/archive/2009/11/05/1596502.html
版权

在 RBAC的模型中角色将是可继承性的,即如果角色A财务部经理是角色B财务员的父类,则角色A将会拥有角色B的所有权限,那么一个公司/组织的结构则是一个树型结构。在这里我们将会虚拟一个根节点,作为所有角色的祖先。如下图所示。

目前的权限模型(RBAC)是hierachical和Composite类型的。在引子里面已经介绍了对角色的控制是基于树来执行的,在这里把hierachical和composite的概念放到树上来解释下,如上图是一个角色树。
Hierarchical的意思是角色是可继承的。如果一个用户被分配了图1中的C角色,那他将会拥有C角色所有子角色的权限,即包含FGK的所有权限,注意的一点是FGK的权限总集将会不大于角色C的权限。
Composite的意思是角色是可复合性的。举个例子,用户可以在图中同时被分配了角色G和角色D,他拥有这两个角色对应的权限的合集。

几个问题的讨论。
1. 关于区分部门和部门的员工。我们的rbac模型是基于角色的,因此在角色树中也就没有部门这个概念。对于一个部门来说,对应于角色树的一个子树(subtree),比如图中的C-F- K-G,假设该部门的老大被分配了角色C,那他将会拥有该部门内所有子角色拥有的一切权利;而有的时候,如果有其他需求,比如讨论时提到的部门经理有时候可能不能看到开发团队的代码之类,这种情况下,我们可以把给部门经理分配角色F,他拥有管理其下所有成员的权限,而G节点可能对应的是该部门查看代码权限的角色,具体是什么完全自由扩展。

2.关于工作流中的分配模型。工作流系统中上级部门会将任务分配给下级部门。因为我们的权限控制模型是基于角色的,所以不存在部门的概念,任务的分配只是看你当前的角色是否拥有向下分配任务的许可。在这里我们可以定义一个许可(下发任务),如果某角色定义了这个下发任务的许可,此角色对应的相关人员将会拥有对以此角色为根节点的子树分配任务的权限。还是看C-F-K-G这颗子树,如果我们给C分配了下发任务的许可,则其可以给拥有FGK节点角色的人分配任务,当然你完全可以限制C只给他的直接下属分配任务,那么这个子树就只进行一个level,即C-F-G。

 

关于算法:


树的遍历通常有两种,第一种是按层次遍历,在图中的表示就是从根节点A开始,一层一层的向下走,每一个子节点按照它自己的parent节点来确定位置。通常使用这种遍历会保存节点的路径和该节点的父亲节点ID,对于图中K节点来说,它将会把路径ABCFK和F存储在自己的对象属性中。这种遍历的一个好处就是插入节点很方便,比如我要给K添加一个子节点,只需要查出K的路径,结合K对应的ID就可以了。但是如果是要求查询出一个节点(比如C)的所有子节点呢?很自然的想法是通过数据库的模糊查询找出路径属性包含C的所有记录,不过这样做就出现了一个性能问题,通过这种模糊查询方式速度会很慢。

第二种就是先根遍历,也是在AGILEJ的权限控制里面使用到的。具体的思想就是按照链状来构造树结构。如图所示,这颗树就是按照1-2-3... 20-21-22的顺序来遍历的。对于每个节点我们为其添加了两个属性--左值和右值。现在如果我们要查询节点C的所有子节点,只需要找出数据表中所有左值大于C左值(3)并且右值小于C右值(10)的所有节点即可,这样就避免了使用模糊查询。如果我只是要查出C节点下面所有子节点的数目而非详细信息,那么可以用(C的右值-C的左值-1)/2,即(10-3-1)/2=3,是不是很方便?不过这种算法也有弱点,就是插比起层次遍历的方法要麻烦点。比如我要为H添加一个子节点,那我必须将所有左值大于12的节点的左值加上2,所有右值大于12的节点的右值加2,然后插入一条数据,其左值为14,右值为 15.

简单实现(假设节点C对应的object为roleC):

  • 查询节点c的所有子节点:
    collection = find all role where role.left_value>roleC.leftValue and role.right_value<roleC.rightValue; 
  • 获得节点C的所有子节点个数:
    count = (roleC.rightValue-roleC.leftValue-1)/2
  • 在节点M后插入节点
    update role set role.leftValue=role.leftValue+2 where role.rightValue>roleM.rightValue
    update role set role.rightValue=role.rightValue+2 where role.rightValue>=roleM.rightValue
    now save new Node with leftValue=roleM.leftValue+1 and rightValue=roleM.leftValue+2

转载于:https://www.cnblogs.com/postback/archive/2009/11/05/1596502.html

diebinglao0368
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一种高性能Hierarchical RBAC实现方案
Teddy's Knowledge Base
01-23 523
背景 框图上图中,Role和被设置Permission的Resource都是可以有任意层级继承关系的。 举例 举一个网站的例子来说: 如果,User表示网站用户;Role表示角色;Resource表示所有可访问的URL;Permission是对每一个URL的某一个权限(如:查看,修改等)。 Role可以有任意层级继承关系,如:用户角色可以分
[转载]一种高性能Hierarchical RBAC实现方案
weixin_30702887的博客
02-14 52
背景 框图 上图中,Role和被设置Permission的Resource都是可以有任意层级继承关系的。 举例 举一个网站的例子来说: 如果,User表示网站用户;Role表示角色;Resource表示所有可访问的URL;Permission是对每一个URL的某一个权限(如:查看,修改等)。 Role可以有任意层级继承关系,如:用户角色可以分为Nor...
RBAC基于角色的权限控制个人理解
妈妈说有这么一群人
03-31 4770
基本上搞过it的都知道权限控制其实是很麻烦的一件事情,但是不难理解。在我学习rbac之前,对权限的理解基本上就是权限分配给角色,角色又分配给用户组,然后用户可以属于用户组之类的。一些企业级应用可能会有更复杂的情况,比如A部门的员工甲,就分配A角色给甲;若甲在B部门兼职,那就不是简单的把B角色分配给甲,兼职还是有区别的;rbac也只是一种模式而已,看下面的标准介绍: NIST(The Na
AGILEJ的权限控制(角色树的算法)
phantom
03-09 217
权限控制的第一篇文中我们提到了在我们RBAC的模型中角色将是可继承性的,即如果角色A财务部经理是角色B财务员的父类,则角色A将会拥有角色B的所有权限,那么一个公司/组织的结构则是一个树型结构。在这里我们将会虚拟一个根节点,作为所有角色的祖先。如下图所示。树的遍历通常有两种,第一种是按层次遍历,在图中的表示就是从根节点A开始,一层一层的向下走,每一个子节点按照它自己的pare...
AgileJ1.5.0
05-09
逆向编译,eclipse3.3的插件,可以通过java类,生成相应的UML图,效果不错,我一直再用。
AgileJStructureViews
06-27
AgileJStructureViews是一个Eclipse逆向工程插件,可以轻松讲Java类转换成UML类图。
RTL:RTL是指R标签库。 这是JSP的标签库
05-21
< groupId>org.agilej < artifactId>rtl < version>0.1-SNAPSHOT 模板标签 要使用RTL模板标签,您需要完成三个步骤: 告诉rtl在哪里找到您的模板页面 定义模板页面 在每个页面中使用您的模板 找到您的模板文件 ...
【Qt实现录频】
m0_45463480的博客
06-13 168
请注意,这只是一个简单的示例代码,实际应用中你可能需要处理更多的细节,如捕获不同视频格式、处理录制过程中的错误等。希望这个示例对你有所帮助,另外你也可以在Qt官方文档中找到更多关于Qt Multimedia模块的详细信息。在Qt中实现录制视频可以通过使用Qt Multimedia模块来实现。在上面的示例中,VideoRecorder类提供了一个简单的界面,其中包括一个用于录制视频的按钮。当按钮被点击时,toggleRecord()槽函数将会启动或停止录制。
趋势Deep Security(Trend Micro Deep Security)安装
weixin_45945976的博客
06-17 127
Trend Micro Deep Security是一个提供深度包检查、入侵防御、恶意软件保护以及其他多层安全措施的综合性安全解决方案。由趋势科技(Trend Micro)开发,这个解决方案旨在为物理、虚拟、云环境中的服务器和应用提供保护。
canal应用
qq_33816292的博客
06-12 148
canal分享模块链接。
源码编译安装LAMP
潇的博客
06-12 888
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
【云岚到家】-day04-1-数据同步方案-Canal-MQ
bblb的博客
06-14 990
【云岚到家】-day04-1-数据同步方案-Canal-MQ
MySQL触发器基本结构
最新发布
2301_80388658的博客
06-17 211
4、for each row 声明每次触发都被执行。create trigger 函数名。3、什么样的操作出发,操作那个表。after:......之后触发。befor:......之前触发。6、歘发起触发后执行代码块。可以修改成$$ //都行。2、创建触发器函数名称。insert:插入被触发。update:修改被触发。delete:删除被触发。
PostgreSQL的系统视图pg_policies
lee_vincent1的博客
06-14 425
是 PostgreSQL 的一个系统视图,用于显示数据库中定义的行级安全策略(Row-Level Security Policies)。行级安全策略是一种访问控制机制,它允许你定义基于行的访问控制规则,通过策略来控制用户对特定行数据的访问。行级安全策略在 PostgreSQL 9.5 及之后的版本中引入,旨在增强数据库的安全性,使其能够支持更细粒度的访问控制
盲盒App开发时有哪些技术框架可以借鉴
bytekj的博客
06-14 544
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
SpringBoot+MyBatis批量插入数据的三种方式
pscool的博客
06-12 848
在开发过程中,我们经常会遇到往数据库表中插入大量数据的场景,比如excel批量导入数据。那么该如何快速地插入数据呢?我们可以考虑使用批量插入来实现,实测100000条数据添加,后附具体实现代码。用一个 for 循环,把数据一条一条地插入。/*** 第一种方案,用 for语句循环插入 10万 条数据*/i < count;i++) {user.setName("方案1测试" + i);user.setGender("男");user.setUsername("方案1测试");
day01 MYSQL基础
Liang_z_的博客
06-13 1030
今日内容:MYSQL基础
Nginx网站服务
henanchenxuyuan的博客
06-17 1242
Nginx与 Apahce 一样,可以实现基于用户授权的访问控制,当客户端想要访问相应网站或者目录时,要求用户输入用户名和密码才能正常访问,配置步骤与 Apache 基本一致。概括为以下几个步骤。
java:使用JSqlParser给sql语句增加tenant_id和deleted条件
陈鸿圳的专栏
06-11 451
【pom.xml】

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值