jbpm 使用日记9

   日期:  第五周 第二天

     仔细想了想, jbpm  的应用, 思路从, 模糊 --> 清晰 --> 模糊 --> 清晰 --> 模糊

     通过工作流知识的学习,  对安全,  认证,授权. 有了更多的疑问.

    刚好不久前做了一个比较麻烦的集成+开发项目. 在用户,组织结构, 设计上, 我看来是摸着石头过河, 项目细节不方便说了, 简单说说遇到的问题.

   由于该项目使用IBM PORTAL IBM TAS , 等产品. 为了实现CDSSO , 以及跨中国多省地区的互连互通. 要集成以前做的各种应用系统, 要全新开发一些系统. 我参与新应用的开发, 和原有应用系统的改造. 这个过程中.  用户组织结构, 密码策略, 以及应用系统要集成到portal 中显示, 应用系统被打的七零八碎.  自己的管理模块(后台). 菜单导航,和要与IBM PORTAL 提供的树状菜单功能重复. IBM PORTAL 自己有权限管理功能. (我理解的基于PORTLET 的权限) . 应用系统自己有自身的业务权限. 例用acegi 管理的业务权限等等.

   由于LDAP的发展和使用, 似乎LDAP将要成为, 组织结构的一个重要标准, 应用系统应该尽早使用或者为此遇留接口. 但是目前的情况下,  应用系统还是大量使用了数据库管理自己的一切.  异构技术, 异构平台, 以及多个软件开发商,软件提供商,(昂贵的一锤子买卖)协调的技术, 就像一试验品一样脆弱.  项目实施后, 又是一个 维护恶梦的开始. (有点象某某公路桥梁一样, 挖了修,修了再挖. 可怜我们纳税人的钱,被这样的糟蹋. :-( ).

    ldap 同步应用数据库, 作为一种推方案, 新应用系统采用了LDAP 向数据库"推"数据. 应用系统不会自己对用户组织结构进行修改.提供统一的LDAP接口, (至今我也不知道这个接口是什么). 据说是通过IBM portal 和  IDS console 来管理用户.结果同步的异常没有被良好的处理, 同步后的数据出现多种错误.自己应用系统马上显示出来脆弱的容错能力,  用户组织结构数据的错误, 导致了应用系统的严重错误. 用户授权系统,基本不能使用了.  (软件的正确性, 没有得到保证). 以至我对这种方式一定程度上失去信心.

   于是, 我有了自己读写LDAP的想法, 既然 LDAP是一个流行的趋势, 我们就自己到LDAP中拉数据,  实现基于LDAP或者.RDBMS 的业务权限管理.
   在安全方面, 要实现所谓的单点登陆,  认证就由认证服务器来处理了, PORLET 的权限可以由PORTAL产品来管理, 那么业务系统是否又工作流产品来管理呢?  我想如果结合 portal 和 workflow 的 权限那么80% 的权限需求基本就得到满足了. 而类似acegi 这种系统是似乎没有再使用的必要了.  工作流产品给我的最大印象就是, 它把业务权限来了一次彻底的管理.

   通过不同的产品把一个应用系统不同的方面 , 分离, 标准化. 也是软件组件的精神吧.

   问题回到jbpm 上来 研究了一下 jbpm  的认证系统. jbpm 的任务和一个java.lang.String 类型 actorId 关联, 至于怎么来管理. 可以采用 Assignment expressions  或者 AssignmentHandler 来处理. 用权限处理类来计算权限, , 计算权限分散,难以管理, 用 jBPM identity component 就需要对它进行必要的扩展, 否则基本不能使用.

  那么下面的任务就是扩展  jBPM identity component 实现基于 RDMBS 和 LDAP 的组织结构设计.