权限模型.pptVIP

[权限模型] 北京邮电大学 李彤 7/17/2013 提纲 简介 核心概念 应用实践 问题 简介 权限控制包括2大部分： 功能级权限 功能级权限控制使用通用的RBAC模型，即给用户赋予角色，给角色赋予权限。 数据级权限 对RBAC模型做简单扩展实现数据级权限，即给每个权限赋予一条或者多条权限策略。权限策略主要有：用户分类和资源两大要素组成。 权限引擎会首先验证功能权限，然后验证数据级权限。 核心概念 用户分类 什么样的用户 资源，主要是 数据查询 能看到哪些数据 业务数据分类 能操作哪些数据 用户分类 静态划分 我们首先将某角色赋予给用户后，用户才隶属于该角色； 动态划分 我们使用规则对用户进行描述，如果用户满足该规则描述，则属于该“用户分类”，无需事先将用户划到该用户群组。这种隶属关系是基于规则运算。 推荐准则：角色放在功能级控制层面；用户分类属于数据级控制层面。 用户分类 考察如下例子： 用户分类名称：总公司用户；?规则是：用户的机构ID＝总公司机构ID 用户分类名称：分公司用户；?规则是：用户的机构 level＝分公司机构level 用户分类名称：北京分公司用户；规则是：用户的机构ID＝北京分公司机构ID 用户分类名称：临时调查组用户；规则是：用户的id号在数据表临时调查组（SPEC_USER）有记录。 核心概念 用户分类 什么样的用户 资源，主要是 数据查询 能