使用隐式权限/角色

时间:2016-08-18 21:54:16

标签: java design-patterns permissions roles shiro

我正在为我的网络应用程序开发角色/权限系统,我不确定如何构建它。

简言之。用户可以访问许多项目。这是一个参与,除其他外,参与有一个包含许多权利的个人资料。因此,这些是项目中用户特定的权利。参与者还有类型(管理员,支持等)。

个人资料基于角色。角色(可能名称不当)实际上是标准的配置文件,其管理员事先定义了默认权限配置。创建新配置文件时,选择一个角色作为基础,然后根据需要调整权限。个人资料不是一个用户专有的。

到目前为止,这么好(或不是!你告诉我!)

权利按上下文/主题分组。因此,例如,与“项目任务”相关的所有权利都归为一组。我没有对此进行建模,因为它是由UI处理的(不确定这是否是一件坏事)。

现在我的问题如下。根据参与类型,某些权利是隐含的,不应被禁用。因此,在为“支持”参与创建角色时,应隐含“查看我自己的支持票证”权限,并且不显示或显示为禁用,以便无法更改。而不同的参与类型可以选择性地分配此权利。

我基本上得到了参与者类型/权利=不能申请的电子表格,可以申请(选择与否)&始终适用。例如:

| RIGHT              | INV | SUP | ADM |
| ------------------ | --- | --- | --- |
| G_PROJECTS_READ    |  I  |  I  |  Y  | 
| G_PROJECTS_UPDATE  |  Y  |  N  |  Y  |
| G_PROJECTS_CREATE  |  N  |  N  |  Y  |
| G_PROJECTS_PUBLISH |  N  |  N  |  Y  |

Where Y = Type can toggle right on/off, N = Type doesn't have right 
& I = Implied i.e. Type has right and it can't be deselected

有关如何建模的任何想法/指示?

model

非常感谢,

AW

1 个答案:

答案 0 :(得分:1)

角色基本上是预定义的个人资料。因此,各种角色将只是在应用初始化期间创建的配置文件的实例。我们不需要角色作为单独的类/实体。

创建一个interface IProfile,其中包含方法Set<Right> getAllRights()Set<Right> getEditableRights()Set<Right> getAllowedRights()。方法getAllowedRights()给出属于此配置文件的任何用户具有的默认权限(不能修改这些权限)。方法getEditableRights()显示管理员在创建新角色时可以编辑哪些权限。

现在来Profile,它由Type和实施IProfile组成。现在您可以将配置文件实现为

public class Profile implements IProfile {
    //fields have their getters as well
    Set<Right> allRights; 
    Type participantType;
    Set<Right> allowedRights;

    public Profile(Set<Right> allRights, Type participantType) {
        //Set values in fields here
    }

    //This is used by UI to show admins which Rights can be altered for creating a new Role.
    public Set<Right> getEditableRights() {
        getAllRights - participantType.getRights
    }
    public Set<Right> setAllowedRights(Set<Right> addedRights) {
        //addedRights here is a subset of Rights given by getEditableRights()
        this.allowedRights = participantType.getRights + addedRights;
    }

}

减号表示设置差值运算,加号表示在此处设置联盟。

Type中未提供getEditableRights()的默认权利,但它们用于设置setAllowedRights(Set<Right> addedRights)

中的总权限权限

为什么我创建了IProfile

如果你想创建一个由多个其他类组成的不同类型的Profile,那么当你有Type并说Reputation时(声誉也会给用户一个固定的权限集),然后您可以以不同的方式实施IProfile,而依赖于IProfile的代码仍然以相同的方式工作。

相关问题
最新问题