2。访问控制信息是由具体创建数据的模块来维护;而非人员权限模块来负责管理;
这里有些疑问,除了角色列表外,应该还有其他访问控制信息为权限模块所知晓,除非权限被简单化
无论是具体模块,还是权限模块,都必须知道一些共同的规则才能去维护或审核,那么这些地方应该进行设计以反映到同一的接口上,否则最终实现还是难以控制,这也就反映到标准上的概念。
当然不是一一对应,因为本身角色和权限点就是多队多的关系,庆祝一我上问用的词汇,角色列表,是列表!
也就是说把角色和权限点的多对多关系保存在资源处;
嗯,这里我稍微有些误解,但主要我考虑的还不是这个问题。我曾经接触过据说是日本政府资助的一个访问控制实现,里面有角色和组的概念,也有类似的列表。他的设计应该也是比较完善的,(日本人的东西大多如此,不管其他好坏,保证做出的东西的确是能用的),但我想在具体项目中应用还是会有很多问题的。静态的权限系统和变化的世界是不相配合的,所以对象的概念要被提出。
的确我的想法还是泛泛而谈,具体实施起来会有问题的,标准只是把成熟的想法设计在给定的假设下给确定下来,所以需要了解问题,提出假设,才有标准。目前对问题的了解似乎还有所欠缺的地方。希望这样的讨论会让东西变得明晰起来。