权限系统设计指南

[Title ] 关于用户角色权限管理一点想法[Author] Pizer.Chen[Email ] Iceant@21cn.com | iceant@vip.163.com[Date ] 2002-11-3我以前设计过一个权限系统的模型，但是我没有

首先表示一下奇怪：我以前在这注册的号是不是给删除了，虽然我确实很久没在这发言了！ 我现在在做一个系统，一个类似信息发布的东东，本来也无所谓，可没想到用户提出了许多BT的要求，尤其是权限方面，本来照我的常规思维，这种东东一般也就是划分几个角色，划分几个信息的

用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论： 粗粒度控制：可以规定访问整个对象或对象群的某个层，而细粒度控制则总是在方法或属性层进行控制，比如： 允许一个文件为只读是属

想和大家讨论一下程序中用户权限的设计，偶大致列了一个提纲，大家就按照这样一个步骤说吧，如下―― 1、关于用户权限设计的现在？（发展是什么样的？等） 2、实现用户权限的不同，方式有很多，结合操作系统会有不同

现在想到的是在Filter中做…… 目标：通过配置来实现权限管理，在业务代码中无需再考虑权限问题参考：类似tomcat的realm，在进到项目前，已经由容器判断了权限。权限管理通过

还是没有弄清楚 不都是一些区县的集合吗？

今天才看到这篇文章，非常好，从各个方面阐述了J2EE中用户验证系统的原理和应用技术，其中关于JAAS和Petstore的论述很精彩，文章考证了Petstore的三个版本中不同用户系统的实现: 1.Java Pet Store 1.0.1 使用for

能不能归纳出一个通用的用户角色权限管理？答案是肯定的，其实这可以使用工作流机制实现。 确定好用户权限系统中的实体是系统分析的首要工作，我比较同意这样一种划分： 1.访问者(User)2.被访问者3

有没有人有兴趣可以一起来实现一个权限系统呢？我的初步设想是实现一个分布式的RBAC系统。由一个 RBAC Server 和多个 RBAC Client 构成。RBAC Server 将是一个中间件。 OASIS 有一套分布式 RBAC 系统的文档，

最近在研究tomcat时，了解到servlet容器可以用users /roles 再加上在web.xml中配置访问安全角色控制，以前我都是自已编程来判断的，倒底用容器来管理好呢，还是自已编码好，请有经验的大侠给些建议，理由是什么

代文龙整理的"权限系统概要"写得很详尽。现在想讨论一下实现过程中的问题: 1.怎么在系统中表示一个Resource呢？ 在"概要"中提到了使用Id标识一个Resource。我觉得也可以理解为将一个划分较细的use case作为权限分配的单位。相应地，可以把session

这原是关于权限系统设计问题的回帖，本不应该另开新贴。而在下的另开新贴，一方面是因为本人的观点中与很多人的观点差别较大，另一方面也担心其会被“埋没”在原贴的大量回帖中。此外，本贴的内容整理与编排耗费了我周末接近一整个晚上的时间，包含了我对近期项目中权限系统的思考与总结，希望引来大家足够的目光和指导。请

我现在的权限模型是基于RBAC的简化版 简而言之 就是树状的privilege + group + user 现在假设我要得到一个用户对于某个操作是否有权限 那么我应该

现在我的项目中需要管理的资源类型很复杂，有jsp页面，有EJB，有一般的Class。现在我遇到的问题是怎样来标识这些资源，把它们和角色进行绑定。这种标识必须易操作，而且能唯一。

看了前面关于权限的讨论，受益非浅。我的理解是，role是指对某个具体的object具有operation的权限，比如这个object可以是某个表，某个表的一条记录。如果是表的一条记录的话，那么有多个条记录，就会产生多少个role了？这样role不是很多，用什么办法解决这个问题呢？ <