RailsGACL手册(介绍)

(整理好的说明 以后会包含在程序包里面)

评论

25 楼 prolead 2007-03-10  

和active_acl->http://rubyforge.org/projects/activeacl/有什么不同?

24 楼 mafa 2006-11-27  

老兄的代码风格和布局不敢恭维啊~！

23 楼 jianfeng008cn 2006-11-11  

江南白衣 写道

楼主帅哥阿，养眼~~~~~

您也很帅哦，我一直再猜您的年龄！呵呵
个人感觉，权限这种东西说复杂就复杂，说简单应该也简单，和log一样可以AOP抽离出来的东西，无非是对用户和所进行的操作这2个对象进行一个中间关联（最简单的做法是分有和没有），脱离具体的业务，我们需要的模型只需要把用户和权限这2对象的数据有个很类和采集的入口就可以了，至于权限是针对MVC或者数据哪方面的，如菜单，action，还是对象属性的过滤或者数据集的字段权限的过滤，都是属于权限本身的事情，而用户的分组，分权限组，也只是在这个基本前提下针对用户对象权限相关的处理，从大的视角来看的话也许舒服点，减少因为做不到而很郁闷

22 楼 freeboat 2006-10-24  

这个是这套系统最基本的功能,绝没问题

21 楼 cookoo 2006-10-24  

fyol说的是权限组代表一组相关的权限，统一加到用户身上。
其实也可以理解成role，然后把role加到用户身上。

20 楼 freeboat 2006-10-24  

fyol 写道

和权限组有什么区别？
每人放到组里，如果某个人需要组权限之外的权限或限制就加allow或deny

请问 权限组 是什么，你想说的是什么意思呢？

19 楼 fyol 2006-10-24  

和权限组有什么区别？
每人放到组里，如果某个人需要组权限之外的权限或限制就加allow或deny

18 楼 freeboat 2006-10-24  

17 楼 江南白衣 2006-10-24  

楼主帅哥阿，养眼~~~~~

16 楼 baizhan 2006-10-24  

好东西..收藏啦...准备开始学ROR

15 楼 jack 2006-10-24  

freeboat 写道

其实 使用 RailsGacl 的过程不过是调用 acl_check 这个方法，然后他会给你返回 true or false
其他的设置权限 如果 自带的设置正合你意，当然刚刚好，不过 我想管理员如果不是开发员的话
这个自带的设置还是不要给用户使用的好，因为多数时候我们的 Aco(访问控制对象) 都会写死到逻辑中，

例如 acl_check '系统维护','添加用户','人事处','李刚'

其中的 “系统维护”，“添加用户” 一般情况下都是写在 action 中的 不是吗？
至少我目前还没有动态用过。

不过你提出的 对 动态发表文章的权限控制 我倒是 觉得 可以尝试一下 动态的，不过具体的我还没想好

对于一个既定的系统来说，有哪些操作权限是确定的，如果项目开始就直接引入ＧＡＣＬ，到处丢acl_check大概就不成问题了．不过rails本身有各种before_,after_之类的ｆｉｌｔｅｒ函数．如果你的这个ＧＡＣＬ直接做成类似这样的方式，虽然不一定完全解决，不过开发人员的接受程度会高很多 .这样就能够方便开发人员修改已经发布的系统了.


草稿权限设置我原先想给ｊａｖａｅｙｅ提的建议，不过做起来难度大了点．所以也就算了．刚刚好你发了这个贴，就拿来做例子讨论讨论了．

14 楼 freeboat 2006-10-24  

jack 写道

freeboat 写道

我已经在好多个系统中应用过这个权限管理系统（php版\java版），总的来说还是比较满意的。他对权限的控制真的是非常的精细。
我们大部分开发的系统都是我们自用的，所以在权限管理起来没有什么难度，其中也有一套为客户制作的（进销存），客户在使用这套权限系统为自己的员工分配权限的时候也是没遇到什么操作问题，所以在操作上还是容易让人理解的。

我在使用它的时候 多数是对 菜单的控制，并没有精确到action等（我们是内网自用的办公系统），像 jack 所说的对动态添加的文章动态的设置权限，可能就要做一些特殊的修改了。

这个系统中基础的是 Aro Axo Aco 的设置，具体的权限设置在 Acl 处，所以，实现 jack 的想法也是不无可能的，但不做改动或许就会变得很难。

PS.在这个论坛里我觉得我的想法有时候很肤浅，也讲不出什么大道理，只求向各位多多学习。

看的出来，你这个ＧＡＣＬ的主要应用还在于静态对象的权限管理．那原系统受限对象上附加一个ＧＡＣＬ对象来做权限控制的这样的做法，只要受限对象是始终存在的，静态的．应该没有什么问题．比如javaeye的每一个帖子上附上一个ＧＡＣＬ对象，作单独控制．就可能不是那么方便了．不知道我这样理解是否正确呢?

我想动态的处理 还是要看你如何决定来写自己的代码的，你可以每次填写一个文章都动态的添加上对该文章的相关操作方法，然后针对你的朋友在进行设置，当然，如果像 javaeye 这么大的网站来进行这样的操作的话，那么 aco(访问控制对象) 将会随文章的增多而无限庞大，应该还有其他的更好方法，railsGacl 对于动态权限设置 应该并不太适合

13 楼 freeboat 2006-10-24  

jack 写道

freeboat 写道

jack 写道

 
你例子中提到的是版面访问，那么比如这样的需求，我的博客上有篇草稿,需要几个好友帮助修改下.那么我首先需要对这篇草稿针对这几个好友,设置读权限,回复权限,甚至修改权限.这样的需求,怎么能够在尽量不破坏原先系统的结构上,加入RailsGACL的控制呢?

不破坏原先系统的结构 我想是做不到吧？ 有能做到的吗？ 或者我不是很理解你的意思。

代码是一定要修改的，不过由于加入新的功能，项目结构是否会发生变化就很难说了．比如以ruby来说，最方便的插入功能代码就是用mixin方式了．你这个ＧＡＣＬ框架是否也是提供类似这种方式的访问方法呢？如果因为加入个ＧＡＣＬ，导致项目基本上要重写．这个任谁都要三思而后行了．

其实 使用 RailsGacl 的过程不过是调用 acl_check 这个方法，然后他会给你返回 true or false
其他的设置权限 如果 自带的设置正合你意，当然刚刚好，不过 我想管理员如果不是开发员的话
这个自带的设置还是不要给用户使用的好，因为多数时候我们的 Aco(访问控制对象) 都会写死到逻辑中，

例如 acl_check '系统维护','添加用户','人事处','李刚'

其中的 “系统维护”，“添加用户” 一般情况下都是写在 action 中的 不是吗？
至少我目前还没有动态用过。

不过你提出的 对 动态发表文章的权限控制 我倒是 觉得 可以尝试一下 动态的，不过具体的我还没想好

12 楼 jack 2006-10-24  

freeboat 写道

我已经在好多个系统中应用过这个权限管理系统（php版\java版），总的来说还是比较满意的。他对权限的控制真的是非常的精细。
我们大部分开发的系统都是我们自用的，所以在权限管理起来没有什么难度，其中也有一套为客户制作的（进销存），客户在使用这套权限系统为自己的员工分配权限的时候也是没遇到什么操作问题，所以在操作上还是容易让人理解的。

我在使用它的时候 多数是对 菜单的控制，并没有精确到action等（我们是内网自用的办公系统），像 jack 所说的对动态添加的文章动态的设置权限，可能就要做一些特殊的修改了。

这个系统中基础的是 Aro Axo Aco 的设置，具体的权限设置在 Acl 处，所以，实现 jack 的想法也是不无可能的，但不做改动或许就会变得很难。

PS.在这个论坛里我觉得我的想法有时候很肤浅，也讲不出什么大道理，只求向各位多多学习。

看的出来，你这个ＧＡＣＬ的主要应用还在于静态对象的权限管理．那原系统受限对象上附加一个ＧＡＣＬ对象来做权限控制的这样的做法，只要受限对象是始终存在的，静态的．应该没有什么问题．比如javaeye的每一个帖子上附上一个ＧＡＣＬ对象，作单独控制．就可能不是那么方便了．不知道我这样理解是否正确呢?

11 楼 freeboat 2006-10-24  

我已经在好多个系统中应用过这个权限管理系统（php版\java版），总的来说还是比较满意的。他对权限的控制真的是非常的精细。
我们大部分开发的系统都是我们自用的，所以在权限管理起来没有什么难度，其中也有一套为客户制作的（进销存），客户在使用这套权限系统为自己的员工分配权限的时候也是没遇到什么操作问题，所以在操作上还是容易让人理解的。

我在使用它的时候 多数是对 菜单的控制，并没有精确到action等（我们是内网自用的办公系统），像 jack 所说的对动态添加的文章动态的设置权限，可能就要做一些特殊的修改了。

这个系统中基础的是 Aro Axo Aco 的设置，具体的权限设置在 Acl 处，所以，实现 jack 的想法也是不无可能的，但不做改动或许就会变得很难。

PS.在这个论坛里我觉得我的想法有时候很肤浅，也讲不出什么大道理，只求向各位多多学习。

10 楼 jack 2006-10-24  

freeboat 写道

jack 写道

 
你例子中提到的是版面访问，那么比如这样的需求，我的博客上有篇草稿,需要几个好友帮助修改下.那么我首先需要对这篇草稿针对这几个好友,设置读权限,回复权限,甚至修改权限.这样的需求,怎么能够在尽量不破坏原先系统的结构上,加入RailsGACL的控制呢?

不破坏原先系统的结构 我想是做不到吧？ 有能做到的吗？ 或者我不是很理解你的意思。

代码是一定要修改的，不过由于加入新的功能，项目结构是否会发生变化就很难说了．比如以ruby来说，最方便的插入功能代码就是用mixin方式了．你这个ＧＡＣＬ框架是否也是提供类似这种方式的访问方法呢？如果因为加入个ＧＡＣＬ，导致项目基本上要重写．这个任谁都要三思而后行了．

9 楼 freeboat 2006-10-24  

together 写道

另外，对权限控制的特殊要求还有，仅允许某个用户，使用某个IP，在某一个时间段内才能对某些数据进行操作。这样变态的需求，任什么权限管理框架，也无可奈何了吧？

这个需求刚好在 RailsGACL 中可以进行控制，而且还算完美。
具体用法后文会提到：）

8 楼 freeboat 2006-10-24  

jack 写道

  这个GACL完全和windows 2000/xp/2003的本地帐户访问权限一样的处理逻辑.

  windows的权限管理中，系统中的很多对象都具有这样的权限设置。比如文件，文件夹是最为常用的权限管理的地方。按你这个GACL的说法就是每一个受限访问对象都具有一个GACL对象（姑且这样叫吧）。这个GACL对象首先继承自系统的GACL，访问对象如果需要独立的受限访问权限，就需要单独设置GACL对象。

  那么你的RailsGACL能够提供给使用RailsGACL的系统做这样的单独的GACL控制吗？

RailsGACL 能够提供给使用 RailsGACL 的系统做单独的 ACL（后文中将会提到）控制。

引用

  你例子中提到的是版面访问，那么比如这样的需求，我的博客上有篇草稿,需要几个好友帮助修改下.那么我首先需要对这篇草稿针对这几个好友,设置读权限,回复权限,甚至修改权限.这样的需求,怎么能够在尽量不破坏原先系统的结构上,加入RailsGACL的控制呢?

不破坏原先系统的结构 我想是做不到吧？ 有能做到的吗？ 或者我不是很理解你的意思。

7 楼 freeboat 2006-10-24  

谢谢 cookoo , 图片是因为我 用 HTML 排的版，移到论坛里面 就需要再排版，所以 就用图片了，以后会加到 程序包里面的 ：）

“如何创建和管理权限控制对象” 今天晚上回去我继续写完 大家就可以看到了

我自认技术还不纯属，也不是科班出身，所以关于一些理论的东西只是一知半解，还请各位高手谅解，多多指教

6 楼 thundercao 2006-10-24  

together 写道

说到权限控制，不是一般的复杂。想起来就头疼。
现在的权限管理框架，也仅能实现粗粒度的控制，控制到菜单、action一级。
举个例子，用户具有ListAction的访问权限，但列表中的数据对他来讲，
有一部分是只能查阅的，有一部分是只能查阅和修改的，有一部分是查阅、修改、删除都能做的。那么怎么来控制呢？
具体到一个UpdateAction中，对于某些ID的数据，当前用户是可以执行update操作的。但对于某些数据，是不可以执行update的。虽然用户具有updateaction的操作权限，但具体到某一条记录，另当别论了。

在政务/OA类系统中，还有一个常用的授权操作，这对权限管理也是一个很大的挑战。
另外，对权限控制的特殊要求还有，仅允许某个用户，使用某个IP，在某一个时间段内才能对某些数据进行操作。这样变态的需求，任什么权限管理框架，也无可奈何了吧？

普通的权限控制做到Action一级也足够了,复杂的权限控制无处不在,这是随着业务需求而变化,目前好像市面上还没有一款像样的且比较通用的权限管理系统