VisualSVNServer授权机制.docVIP

了解VisualSVN Server的授权机制Understanding VisualSVN Server authorization VisualSVN Server提供一种访问授权机制，可以让你控制用户可以访问的配置库中的特定文件。从用户角度看，VisualSVN Server的访问授权机制与Windows文件系统非常相像。但是有一些明显的差别，没有经验的Subversion新用户饱受困扰。 本文讨论VisualSVN Server基本访问控制（Access Control）原则，也讨论了与Windows访问控制的主要差别。 访问规则Access rules VisualSVN Server使用基于路径的授权机制（path-based authorization）。该机制实际上是VisualSVN Server内部包含的Subversion所提供。采用下述简单格式，就可以配置访问权限： 用户名user name/组名group name = 访问等级access level. 可以在访问规则（access rules）中，明确配置以下访问等级（access level）： 不能访问No Access 只读Read Only 读写Read/Write 如果在父路径中定义一个access rule，且在当前目录中没有明确重载overloading，那么这个access rule将显示为“继承的”（inherited）。如左图所示。 配置库的每个路径可以配置多个访问规则。对于一个给定的路径，若没有定义任何访问规则access rule（直接或通过继承），则所有用户都禁止访问。 在下列情况下，access rule适用于某个用户： access rule针 access rule针对一个用户组，这个组直接或间接包括了这个用户。 访问控制的原则 确定一个用户的访问等级access level有两条基本原则：继承原则inheritance principle 和 优先原则priority principle。 继承原则Inheritance principle：某个路径的访问权限，被它的所有子目录继承。有以下两条等价的规则： 给定路径的访问权限覆盖override它的父路径的访问权限Access rights for a given path override access rights configured for its parent paths。 实际执行时，访问权限被替换为每个基本的用户Access rights substitution is performed on a per-user basis。 考虑如何使用继承原则Inheritance principle： 在左边这个例子中，用户harry不能访问目录MyProject。 按照继承原则Inheritance principle的规则a)，从父路径继承下来的访问权限，被当前目录的权限覆盖overridden。 在左边这个例子中，用户harry对目录MyProject有只读权限Read only。 Harry是Developers用户组的成员。按照继承原则Inheritance principle的规则a), Harry从MyReopsitory继承下来的访问权限，被当前目录MyProject的权限所覆盖。 在左边这个例子中，用户sally拥有目录MyProject的读写read/write权限。 sally不是Developers用户组的成员，按照继承原则Inheritance principle的规则b),其 从MyReopsitory继承下来的访问权限，不会被当前目录MyProject的权限所覆盖。 优先原则Proority principle：若某一路径配置了几条访问规则access rules均适用于某一用户，则选择权限最宽的那条规则。 考虑如何使用优先原则Proority principle： 在左边这个例子中，用户harry拥有配置库MyRepository读写权限read/write。 harry是用户组Developers的成员，该组的访问权限也适用于他。按照优先原则priority principle，将选择权限最宽的那条规则。 与Windows访问控制的差异 Subversion基于路径的认证机制与Windows访问控制近似，其主要差别在于Subversion缺乏拒绝规则lack of deny-rules。拒绝规则Deny-rules优先于允许规则allow-rules，可以用于配置细微的访问权限。 考虑一个典型的例子，在Windows访问控制中同时使用允许规则和拒绝规