1.1   Subversion 权限简介

在 Subversion 的使用当中，存在“认证”、“授权”两个概念。认证，即 authentication，是指用户名与密码的认证。授权，即 authorization ，是指某用户对某个目录是否具备读、写权限的一种审核。这两者配合作用，就组成了 Subversion 的整个帐户管理体系。

在实际的工作当中，我们有时候会遇见需要控制项目目录的访问权限的情况，比如说对项目的一些关键模块进行限制，仅允许少数授权人士才可以修改等。由于项目的目录本身就是作为版本库的一个部分被 Subversion 所收管，所以我们无法利用操作系统的帐户权限体系，来实现授权控制。因此，这个问题就只有让svn自己来解决了。

Subversion 提供了面向目录的帐户权限管理功能，通过它，我们就可以很精确地实现项目目录的访问控制。不过在 1.2 及其以前的版本，我们只能利用 mod_authz_svn.so 模块，结合 Apache 服务器来实现目录访问控制，这对于对 Apache 的配置与使用不是很熟悉的人来说，就不是很方便了。而Subversion终于在 1.3 版本上，在 svnserve.exe 服务器里面添加了这一功能，方便了很多人。

1.2   其他信息

本文面向那些 Subversion 的管理员，或者任何对 Subversoin 有兴趣的人们。本文假定读者对Subversion有一定的了解，因此不打算对所有涉及到的安装、使用，做一个细节性的描述。若对于文章中描述的其他细节方面有所疑问，请访问“参考文献”一节里面的参考资料。如果你对本文任何地方有什么意见，或者发现本文有着大大小小的错误，请联系 zhengxinxing <at></at>gmail <dot></dot>com 。

本文是基于 Subversion 1.3.2、MS Windows 2003 Server Edition 平台来编写的，且 Subversion 服务器是利用 svnserve.exe 来架设的。不过，本文讲述到的绝大多数内容，都是不仅与操作系统平台无关，而且与是采用 svnserve(.exe) 还是使用 Apache 来作为 Subversion 服务器也基本无关。因此为免罗嗦，本文就以 svnserve(.exe) 为例进行描述，而略过 Apache 服务器相关的内容，有兴趣的读者可以参考其他文章来在 Apache 服务器下实现类似的功能。

本文是利用 reST 格式来编写的，如果你对它感兴趣，请访问 http://docutils.sourceforge.net/rst.html 。如果想要看到更好的html格式，你可以通篇复制本文到一个文本文件里，然后利用 docutils 的 rst2html.py 脚本编译它，当然，首先你必须安装 python。

2.1   背景假设

厦门央瞬公司是一家电子元器件设备供应商，其中有个ARM部门，专门负责ARM芯片的方案设计、销售，并在北京、上海各设立了一个办事处。对于工作日志，原先采用邮件方式发给经理，但是这种方式有个缺点，那就是不具备连续性，要看以前的日志必须一封一封邮件去查看，很麻烦。于是就想到利用 Subversion， 让员工在自己电脑上编辑日志，然后利用svn传送回来，既方便员工自己编写日志，又方便对日志的归档处理，而且提交日志的时候只需要执行一下 svn commit 即可，比发送邮件还要简单的多。

• svn服务器相关信息

  • 服务器地址： 192.168.0.1
  • 服务器OS： MS Windows 2000 Server Edition 中文版
  • 用于存放日志的代码库本地目录： D:\svn\arm

• arm部门文档的目录结构如下:

  arm                 部门名称
  ├─diary           工作日志目录
  │  ├─headquarters    总部工作日志目录
  │  ├─beijing         北京办日志目录
  │  └─shanghai        上海办日志目录
  ├─ref             公司公共文件参考目录
  └─temp            临时文件目录
  

• 人员情况

  • morson，公司总经理，不习惯使用电脑，更喜欢传统的纸与笔，以及面对面的交流
  • michael，arm事业部的部门经理，没事的时候喜欢弄点儿新技术，用svn来管理日志，就是他想出来的主意
  • scofield，北京办人员，老员工，为人油滑难管
  • lincon，上海办人员，老员工，大老实人一个
  • linda，总部协调员、秘书，文笔不错，长得也不错
  • rory，单片机技术员，技术支持

• 访问权限需求分析

  • 允许总经理、部门经理读取所有文件。顺便给他们开放写权限，以便体现对他们职位的尊重，虽然对于某些文件来说，他们若拥有“写”权限其实也没什么用处
  • 除部门经理外，所有其他人员，均只能看到本办事处人员工作日志
  • 不允许匿名访问
  • ref目录只允许经理和秘书读写，对其他人只读
  • temp目录人人都可以随意读写

2.2   使用 svnserve.exe 作为 Subversion 服务器

本节描述如何利用 svnserve.exe 来作为代码库服务器端，实现上述功能。至于另外一种代码库服务器端，即利用 Apache 结合 mod_dav_svn.so 来实现的代码库服务器端，由于其对于本文叙述的内容“实现精细的目录访问权限控制”而言，与前者没有太大的区别，故而略过不提。它们二者只是在初次安装、配置方面存在一些不同，有兴趣的读者，可以参考其他文档，重新实验下述步骤。

svnserve -d -r d:\svn

D:\svn>svnadmin create arm

[general]
password-db = passwd.conf
anon-access = none
auth-access = write
authz-db = authz.conf

[users]
morson = ShowMeTheMoney
michael = mysecretpassword
scofield = hellolittilekiller
lincon = asyouknows111
rory = 8809117
linda = IlikeWorldCup2006

[groups]
g_vip = morson
g_manager = michael
g_beijing = scofield
g_shanghai = lincon
g_headquarters = rory, linda
g_docs = linda

[arm:/]
@g_manager = rw
* = r

[arm:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =

[arm:/diary/beijing]
@g_manager = rw
@g_beijing = rw
@g_vip = r
* =

[arm:/diary/shanghai]
@g_manager = rw
@g_shanghai = rw
@g_vip = r
* =

[arm:/ref]
@g_manager = rw
@g_docs = rw
* = r

[arm:/temp]
* = rw

svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117

arm
├─diary
│  └─headquarters
├─ref
└─temp

3.1   svnserve.conf

arm\conf\svnserve.conf 文件，是 svnserve.exe 这个服务器进程的配置文件，我们逐行解释如下。

首先，我们告诉 svnserve.exe，用户名与密码放在 passwd.conf 文件下。当然，你可以改成任意的有效文件名，比如默认的就是 passwd:

password-db = passwd.conf

接下来这两行的意思，是说只允许经过验证的用户，方可访问代码库。 那么哪些是“经过验证的”用户呢？噢，当然，就是前面说那些在 passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面，目前只允许 read write none 三种值，你如果想实现一些特殊的值，比如说“read-once”之类的，建议你自己动手改源代码，反正它也是自由软件:

anon-access = none
auth-access = write

接下来就是最关键的一句呢，它告诉 svnserve.exe，项目目录访问权限的相关配置是放在 authz.conf 文件里:

authz-db = authz.conf

当然，svn 1.3.2 引入本功能的时候，系统默认使用 authz 而不是 authz.conf 作为配置文件。不过可能由于鄙人是处女座的，据说有着强烈的完美主义情结，看着 svnserve.conf 有后缀而 passwd 和 authz 没有就是不爽，硬是要改了。

上述的 passwd.conf 和 authz.conf 两个文件也可以作为多个代码库共享使用，我们只要将它们放在公共目录下，比如说放在 D:\svn 目录下，然后在每个代码库的 svnserve.conf 文件中，使用如下语句:

password-db = ..\..\passwd.conf
authz-db = ..\..\authz.conf

或者:

password-db = ../../passwd.conf
authz-db = ../../authz.conf

这样就可以让多个代码库共享同一个用户密码、目录控制配置文件，这在有些情况下是非常方便的。

3.2   authz.conf 之用户分组

arm\conf\authz.conf 文件的配置段，可以分为两类， [group] 是一类，里面放置着所有用户分组信息。其余以 [arm:/] 开头的是另外一类，每一段就是对应着项目的一个目录，其目录相关权限，就在此段内设置。

首先，我们将人员分组管理，以便以后由于人员变动而需要重新设置权限时候，尽量少改动东西。我们一共设置了5个用户分组，分组名称统一采用 g_ 前缀，以方便识别。当然了，分组成员之间采用逗号隔开:

[groups]
# 任何想要查看所有文档的非本部门人士
g_vip = morson

# 经理
g_manager = michael

# 北京办人员
g_beijing = scofield

# 上海办人员
g_shanghai = lincon

# 总部一般员工
g_headquarters = rory, linda

# 小秘，撰写文档
g_docs = linda

注意到没有， linda 这个帐号同时存在“总部”和“文档员”两个分组里面，这可不是我老眼昏花写错了，是因为 Subversion 允许我这样设置。它意味着，这个家伙所拥有的权限，将会比他的同事 rory 要多一些，这样的确很方便。具体多了哪些呢？请往下看！

3.3   authz.conf 之项目根目录

接着，我们对项目根目录做了限制，该目录只允许arm事业部的经理才能修改，其他人都只能眼巴巴的看着:

[arm:/]
@g_manager = rw
* = r

• [arm:/] 表示这个目录结构的相对根节点，或者说是 arm 项目的根目录。其中的 arm 字样，其实就是代码库的名称，即前面用 svnadmin create 命令创建出来的那个 arm。
• 这里的 @ 表示接下来的是一个组名，不是用户名。因为目前 g_manager 组里面只有一个 michael，你当然也可以将 @g_manager = rw 这一行替换成 michael = rw ，而表达的意义完全一样。
• * 表示“除了上面提到的那些人之外的其余所有人”，也就是“除了部门经理外的其他所有人”，当然也包括总经理那个怪老头
• * = r 则表示“那些人只能读，不能写”

3.4   authz.conf 之项目子目录

然后，我们要给总部人员开放日志目录的读写权限:

[arm:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =

这个子目录的设置有些特色，因为从需求分析中我们知道，这个子目录的权限范围要比其父目录小，它不允许除指定了的之外其他任何人访问。在这段设置中，我们需要注意以下几点：

• 我敢打赌，设计svn的家伙们，大部分都是在类 unix 平台下工作，所以他们总喜欢使用 / 来标识子目录，而完全忽视在 MS Windows 下是用 \ 来做同样的事情。所以这儿，为了表示 diary\headquarters 这个目录，我们必须使用 [arm:/diary/headquarters] 这样的格式。当然如果你一定要用 \ ，那么唯一的结果就是，Subversion 会将你的这部分设置置之不理，全当没看到。
• 这里最后一行的 * = 表示，除了经理、总部人员、特别人士之外，任何人都被禁止访问本目录。这一行是否可以省略呢？不行，因为 权限具备继承性 ，子目录会自动拥有父目录的权限。若没有这一行，则所有帐号都可以读取 /diary/headquarters 目录下的文件。因为虽然我们并没有设置这个目录的父目录权限，可是默认的规则使得 /diary 目录的权限与根目录完全一样，从而让其余帐号获得对 /diary/headquarters 目录的 r 权限。所以简单来说， * = 这一句的目的，就是割断权限继承性，使得管理员可以定制某个目录及其子目录的权限，从而完全避开其父目录权限设置的影响。
• 之所以这儿需要将 @g_vip = r 一句加上，就是因为存在上述这个解释。如果说你没有明确地给总经理授予读的权力，则他会和其他人一样，被 * = 给排除在外。
• 如果众位看官中间，有谁玩过防火墙配置的话，可能会感觉上述的配置很熟悉。不过这里有一点与防火墙配置不一样，那就是各个配置行之间，没有 先后顺序 一说。也就是说，如果我将本段配置的 * = 这一行挪到最前面，完全不影响整个配置的最终效果。

接下来我们看看这一段:

[arm:/ref]
@g_manager = rw
@g_docs = rw
* = r

这里的主要看点，就是 g_docs 组里面包含了一个 linda 帐号，她也同时在 g_headquarters 组里面出现，这就意味着， linda 将具备对 /ref 和 diary\headquarters 两个目录的读写权限。

3.5   authz.conf 之目录表示法

在前面的描述中，我们都采用 [repos:/some/dir] 这样的格式来表示项目的某个目录，比如上一小节中的 [arm:/diary/headquarters] 。而实际上，Subversion 允许你采用 `[/some/dir] 这样的格式，即不指定代码库的方式来表示目录，此时的目录就匹配所有项目。

对于使用 svnserve 的用户来说，只有当 svnserve 运行的时候使用了 -r 参数，并且让多个代码库共享同一个目录权限文件（即 authz.conf 或 authz）时，不指明代码库名称才有可能惹麻烦。一般情况下，我们对每个代码库都会独立使用配置文件，毕竟每个项目的目录结构，都有很大不同，混在一起意义不大。因此一般来说，为简洁起见，都可以不指明代码库名称。本文全都指明了代码库名称，主要是为了将来扩展成同一个配置文件，以方便配合 Apache 服务器。

对于使用 Apache 的用户来说，它们二者可有着很大的不同，因为此时往往习惯于使用一个公共的目录权限配置文件。如果你使用了 SVNParentPath 指令，则指定版本库的名字是很重要的，因为假若你使用后者，那么 [/some/dir] 部分就会与所有代码库项目的 [/some/dir] 目录匹配。如果你使用 SVNPath 指令，则这两种表示方式就没有什么区别了，毕竟只有一个版本库。

3.6   authz.conf 的其他注意点

1. 父目录的 r 权限，对子目录 w 权限的影响

把这个问题专门提出来，是因为在1.3.1及其以前的版本里面，有个bug，即某个帐号为了对某个子目录具备写权限，则必须对其父目录具备读权限。因此现在使用了1.3.2及其更高的版本，就方便了那些想在一个代码库存放多个相互独立的项目的管理员，来分配权限了。比如说央舜公司建立一个大的代码库用于存放所有员工日志，叫做 diary，而arm事业部只是其中一个部门，则可以这样做:

[diary:/]
@g_chief_manager = rw

[diary:/arm]
@g_arm_manager = rw
@g_arm = r

这样，对于所有arm事业部的人员来说，就可以将 svn://192.168.0.1/diary/arm 这个URL当作根目录来进行日常操作，而完全不管它其实只是一个子目录，并且当有少数好奇心比较强的人想试着 checkout 一下 svn://192.168.0.1/diary 的时候，马上就会得到一个警告“Access denied”，哇，太酷了。

1. 默认权限

如果说我对某个目录不设置任何权限，会怎样？马上动手做个试验，将:

[diary:/]
@g_chief_manager = rw

改成:

[diary:/]
# @g_chief_manager = rw

这样就相当于什么都没有设置。在我的 svn 1.3.2 版本上，此时是禁止任何访问。也就是说，如果你想要让某人访问某目录，你一定要显式指明这一点。这个策略，看起来与防火墙的策略是一致的。

1. 只读权限带来的一个小副作用

若设置了:

[arm:/diary]
* = r

则 Subversion 会认为，任何人都不允许改动 diary 目录，包括删除、 改名 ，和 新增 。

也就是说，如果你在项目初期创建目录时候，一不小心写错目录名称，比如因拼写错误写成 dairy，以后除非你改动 authz.conf 里面的这行设置，否则无法利用 svn mv 命令将错误的目录更正。

1. anon-access 属性对目录权限的影响

你想将你的代码库开放给所有人访问，于是你就开放了匿名访问权限，在 svnserve.conf 文件中添加一行： anon-access=read 。可是对于部分目录，你又不希望别人看到，于是针对那些特别目录，你在 authz.conf 里面进行配置，添加了授权访问的人，并添加了 * = 标记。你认为一切OK了，可是你缺发现，那个特别目录却无法访问了，总是提示 Not authorized to open root of edit operation 或者 未授权打开根进行编辑操作 。你再三检查你配置的用户名与密码，确认一切正确，还是无法解决问题。

原来，Subversion 有个小 bug ，当 anon-access=read 并且某个目录有被设置上 * = 标记，则会出现上述问题。这个 bug 在当前最新版本上（v1.4）还存在，也许在下一版本内可以被改正吧。

解决的办法是，在 svnserve.conf 中，将 anon-access 设置成 none 。

4.1   对中文目录的支持

上午上班的时候，Morson 来到 Michael 的桌子前面，说道：“你是否可以将我们的北京办、上海办目录，改成用中文的，看着那些拼音我觉得很难受？” Michael 心想，还好这两天刚了解了一些与 unicode 编码相关的知识，于是微笑地回答：“当然可以，你明天下午就可以看到中文目录名称了。”

1. 使用 svn mv 指令，将原来的一些目录改名并 commit 入代码库，改名后的目录结构如下:

   arm
   ├─工作日志
   │  ├─总部人员
   │  ├─北京办
   │  └─上海办
   ├─公司公共文件参考目录
   └─临时文件存放处
   

2. 修改代码库的 authz.conf 文件，将相应目录逐一改名

3. UTF-8 格式的 authz.conf 文件，以及 BOM

   将配置文件转换成 UTF-8 格式之后，Subversion 就能够正确识别中文字符了。但是这里需要注意一点，即必须保证 UTF-8 文件不包含 BOM 。BOM 是 Byte Order Mark 的缩写，指 UNICODE 文件头部用于指明高低字节排列顺序的几个字符，通常是 FF FE ，而将之用 UTF-8 编码之后，就是 EF BB BF 。由于 UTF-8 文件本身不存在字节序问题，所以对 UTF-16 等编码方式有重大意义的 BOM，对于 UTF-8 来说，只有一个作用——表明这个文件是 UTF-8 格式。由于 BOM 会给文本处理带来很多难题，所以现在很多软件都要求使用不带 BOM 的 UTF-8 文件，特别是一些处理文本的软件，如 PHP、 UNIX 脚本文件等，svn 也是如此。

目前常用的一些文本编辑工具中，MS Windows 自带的“记事本”里面，“另存为”菜单保存出来的 UTF-8 格式文件，会自动带上 BOM 。新版本 UltraEdit 提供了选项，允许用户选择是否需要 BOM，而老版本的不会添加 BOM。请各位查看一下自己常用的编辑器的说明文件，看看它是否支持这个功能。

对于已经存在 BOM 的 UTF-8 文件，比如说就是微软“记事本”弄出来的，我们可以利用 UltraEdit 来将 BOM 去掉。方法是，首先利用“UTF-8 TO ASCII”菜单将文件转换成本地编码，通常是GB2312码，然后再使用“ASCII TO UTF-8(UNICODE Editing)”来转换到 UTF-8 即可。当然，这么操作之前，你肯定得先保证，你的 UltraEdit 保存出来的 UTF-8 文件的确是不带 BOM 的。

Subversion 为什么讨厌 BOM 呢？我不知道，毕竟我也只是一个普通用户，不是开发人员。如果你感兴趣，并且英文够好的话，不妨参考一下这个讨论： http://subversion.tigris.org/servlets/ReadMsg?list=users&msgNo=51334