摘要:前言虚拟资源管理平台是在的基础上开发的,从原有的一个用户扩展成三个管理员用户和普通用户,下面简单分析一下其实现权限管理的原理。
前言
虚拟资源管理平台是在ovirt4.0的基础上开发的,从原有的一个admin用户扩展成三个管理员用户和普通用户,下面简单分析一下其实现权限管理的原理。
数据库表主要包括三张表:roles(角色表)、roles_group(角色与操作组关系表)、permissions(权限表)
角色RoleType有五种:SystemAdmin、SecurityAdmin、AuditAdmin、UserRole、QuotaConsumer
roles
roles_group角色与操作组关系表(操作组id就是actionGroup中的id,也就是动作组的id,)
permissions权限信息表(也相当于角色和用户的关联表,表示某个用户拥有对某个操作对象的权限,操作对香指存储,虚拟机,模板等对象)
定义操作:通过VdcActionType进行操作自定义,通过枚举设置操作与操作组的从属关系,而ActionGroup是定义操作组(或者说动作组)
比如瘦客thinClient作为一个操作组,则其包括好多种操作,比如登录VdcLogin和退出VdcLogout等等
// VdcLogin
VdcLogin(5003, ActionGroup.THINCLIENT, QuotaDependency.NONE),
VdcLogout(5004, ActionGroup.THINCLIENT, QuotaDependency.NONE),
通过00500_insert_roles.sql初始化角色权限
权限验证事务:系统中所有操作Command都提供getPermissionCheckSubjects方法,用来定义执行操作的权限列表
permissionList权限列表中,包含权限对象PermissionSubject,权限对象的属性如下:
在系统的各种command的执行时,会检测权限,每个操作Command执行,必须定义操作权限列表,否则会直接提示没有操作权限:
最终通过存储过程进行权限查询get_entity_permissions
满足权限的条件判断(1,2必须满足,3,4,5满足其中一个)
系统登录用户系统登录用户(user_id) 所属的 角色(role),必须与 操作组(action_group_id) 在 roles_groups 表中有对应关系
role_id IN( SELECT role_id FROM roles_groups WHERE action_group_id = v_action_group_id)
2.必须拥有需要删除的虚拟机的权限( 或者 所属群集、数据中心的权限。有待探讨)
AND (object_id IN(SELECT id FROM fn_get_entity_parents(v_object_id,v_object_type_id)))
3.功能分配了everyone权限
v_everyone_object_id := getGlobalIds("everyone");
ad_element_id = v_everyone_object_id
4.功能分配了该登录用户的权限
ad_element_id = v_user_id
5.功能分配了该登录用户所属用户组的权限
ad_element_id IN(SELECT * FROM getUserAndGroupsById(v_user_id)
通过 AddPermissionCommand操作添加权限
通过RemovePermissionCommand的paramPermission操作删除权限,根据权限ID删除
getDbFacade().getPermissionDao().remove(perms.getId());
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/77104.html
摘要:最近在写登录策略配置模块,现在通过分析登录策略配置模块来说明系统的层次结构。这样实现起来简单明了,不过由于是根据角色定义登录限制策略,同一种角色只有一种登录限制策略,对不同用户暂时不能做到多样性控制,后期再修正。 最近在写登录策略配置LoginConfig模块,现在通过分析登录策略配置模块来说明系统的层次结构。系统后台主要包括四层: 1. 数据库层:包括表、存储过程、实体类 2. 数据...
摘要:最近在写登录策略配置模块,现在通过分析登录策略配置模块来说明系统的层次结构。这样实现起来简单明了,不过由于是根据角色定义登录限制策略,同一种角色只有一种登录限制策略,对不同用户暂时不能做到多样性控制,后期再修正。 最近在写登录策略配置LoginConfig模块,现在通过分析登录策略配置模块来说明系统的层次结构。系统后台主要包括四层: 1. 数据库层:包括表、存储过程、实体类 2. 数据...
摘要:彼时,从虚拟化管理到公有云,热闹异常。虽然年才明显放弃公有云的全面竞争,但在年决定发起和开源项目是,不说明确,至少已经隐隐觉得肯定搞不过亚马逊了。年前卖的多火,被视为虚拟主机的升级版。当然不是新堆栈,而是传统堆栈。 还记得在十多年前,SaaS鼻祖SalesForce喊出的口号『No Software』吗?SalesForce在这个口号声中开创了SaaS行业,并成为当今市值460亿美元的Saa...
摘要:本人的学习笔记,主要是对我的第一本书从入门到实践的学习记录,并结合其他各种资源的学习,欢迎大牛们指点。最新的容器引入了容器如,容器不再仅仅是一个单纯的运行环境。镜像是基于联合文件系统的一种层式的结构,由一系列指令一步步构建处理。 本人的学习笔记,主要是对《我的第一本Docker书》、《Docker —— 从入门到实践》的学习记录,并结合其他各种资源的学习,欢迎大牛们指点。 容器简介 ...
阅读 2959·2021-11-22 12:01
阅读 3617·2021-08-30 09:46
阅读 647·2019-08-30 13:48
阅读 3076·2019-08-29 16:43
阅读 1537·2019-08-29 16:33
阅读 1742·2019-08-29 13:44
阅读 1293·2019-08-26 13:45
阅读 2121·2019-08-26 11:44
