svn如何給老闆小祕劃分權限

前言
====
Subversion 權限簡介
-------------------
在 Subversion 的使用當中，存在“認證”、“授權”兩個概念。認證，即 authentication，是指用戶名與密碼的認證。授權，即 authorization ，是指某用戶對某個目錄是否具備讀、寫權限的一種審覈。這兩者配合作用，就組成了 Subversion 的整個帳戶管理體系。

在實際的工作當中，我們有時候會遇見需要控制項目目錄的訪問權限的情況，比如說對項目的一些關鍵模塊進行限制，僅允許少數授權人士纔可以修改等。由於項目的目錄本身就是作爲版本庫的一個部分被 Subversion 所收管，所以我們無法利用操作系統的帳戶權限體系，來實現授權控制。因此，這個問題就只有讓svn自己來解決了。

Subversion 提供了面向目錄的帳戶權限管理功能，通過它，我們就可以很精確地實現項目目錄的訪問控制。不過在 1.2 及其以前的版本，我們只能利用 mod_authz_svn.so 模塊，結合 Apache服務器來實現目錄訪問控制，這對於對 Apache 的配置與使用不是很熟悉的人來說，就不是很方便了。而Subversion終於在 1.3 版本上，在 svnserve.exe 服務器裏面添加了這一功能，方便了很多人。實戰
====

本章先直接給出需求及其最終的結果，如果你覺得對配置有什麼疑問，或者看不懂，請不要着急，我會在後面的章節詳細描述的。

背景假設
--------

廈門央瞬公司是一家電子元器件設備供應商，其中有個ARM部門，專門負責ARM芯片的方案設計、銷售，並在北京、上海各設立了一個辦事處。對於工作日誌，原先採用郵件方式發給經理，但是這種方式有個缺點，那就是不具備連續性，要看以前的日誌必須一封一封郵件去查看，很麻煩。於是就想到利用 Subversion， 讓員工在自己電腦上編輯日誌，然後利用svn傳送回來，既方便員工自己編寫日誌，又方便對日誌的歸檔處理，而且提交日誌的時候只需要執行一下 svn commit即可，比發送郵件還要簡單的多。

- svn服務器相關信息
  - 服務器地址： 192.168.0.1
  - 服務器OS： MS Windows 2000 Server Edition 中文版
  - 用於存放日誌的代碼庫本地目錄： ``D:\svn\arm``

- arm部門文檔的目錄結構如下::

   arm                 部門名稱
    ├─diary           工作日誌目錄
    │  ├─headquarters    總部工作日誌目錄
    │  ├─beijing         北京辦日誌目錄
    │  └─shanghai        上海辦日誌目錄
    ├─ref             公司公共文件參考目錄
    └─temp            臨時文件目錄

- 人員情況
  - morson，公司總經理，不習慣使用電腦，更喜歡傳統的紙與筆，以及面對面的交流
  - michael，arm事業部的部門經理，沒事的時候喜歡弄點兒新技術，用svn來管理日誌，就是他想出來的主意
  - scofield，北京辦人員，老員工，爲人油滑難管
  - lincon，上海辦人員，老員工，大老實人一個
  - linda，總部協調員、祕書，文筆不錯，長得也不錯
  - rory，單片機技術員，技術支持

- 訪問權限需求分析

  - 允許總經理、部門經理讀取所有文件。順便給他們開放寫權限，以便體現對他們職位的尊重，雖然對於某些文件來說，他們若擁有“寫”權限其實也沒什麼用處
  - 除部門經理外，所有其他人員，均只能看到本辦事處人員工作日誌
  - 不允許匿名訪問
  - ref目錄只允許經理和祕書讀寫，對其他人只讀
  - temp目錄人人都可以隨意讀寫

使用 svnserve.exe 作爲 Subversion 服務器
----------------------------------------
本節描述如何利用 svnserve.exe 來作爲代碼庫服務器端，實現上述功能。至於另外一種代碼庫服務器端，即利用 Apache 結合 mod_dav_svn.so 來實現的代碼庫服務器端，由於其對於本文敘述的內容“實現精細的目錄訪問權限控制”而言，與前者沒有太大的區別，故而略過不提。它們二者只是在初次安裝、配置方面存在一些不同，有興趣的讀者，可以參考其他文檔，重新實驗下述步驟。

啓動 Subversion 服務
````````````````````
在服務器端，打開一個命令行窗口，用CD命令進入 Subversion 安裝目錄下的 bin 目錄，運行如下指令::

    svnserve -d -r d:\svn

其中的 -d 參數表示 svnserve.exe 將會作爲一個服務程序運行在後臺，而 -r 參數表示將 ``D:\svn`` 目錄指定爲代碼庫的根目錄。這樣，當客戶端使用類似 svn://192.168.0.1/foo 這樣內容的 URL 來訪問服務器時候，其所訪問到的真實代碼庫，其實就是 ``D:\svn\foo``

用上述命令行方式啓動的 svn 服務有個小缺點，就是在本試驗過程中，服務器端必須要一直開着那個運行了上述命令的DOS窗口，不能關閉它。如果不想看到這個窗口，可以將 svnserve 安裝成windows 的一個 services，安裝方式請參考其他文章。

建立代碼庫
``````````
在服務器端的 ``D:\svn`` 目錄下，建立一個名爲 arm 的代碼庫，命令如下::

    D:\svn>svnadmin create arm

使用上述命令之後，如果不出問題的話，在 ``D:\svn`` 目錄下就會多出一個叫做 ``arm`` 的目錄，其下具備 conf、dav、hooks、locks、db 等子目錄或文件，此即 **一個名爲arm的代碼庫** 。從此，通過 ``svn://192.168.0.1/arm`` 這樣的 URL，我們就可以對這個代碼庫進行訪問了。接下來就要進入本文的正題了，也就是權限配置部分了。

其實進入 ``arm\conf`` 目錄你就會發現，它下面已經存在三個寫了一些幫助信息和示例的配置文件，以幫助用戶儘早掌握其配置方法。這三個默認的配置文件分別是 svnserve.conf、passwd、authz 。其中後兩者沒有後綴，對於 windows 系統的用戶來說，看起來總是有些怪異，所以在接下來的章節裏面，我將它們兩個都給添加了個 conf 後綴，以便管理。

編輯代碼庫基礎配置文件
``````````````````````
在服務器端，編輯代碼庫的 ``arm\conf\svnserve.conf`` 文件，如下::

    [general]
    password-db = passwd.conf
    anon-access = none
    auth-access = write
    authz-db = authz.conf
管理用戶帳號
````````````
在服務器端，新建 ``arm\conf\passwd.conf`` 文件，如下::

    [users]
    morson = ShowMeTheMoney
    michael = mysecretpassword
    scofield = hellolittilekiller
    lincon = asyouknows111
    rory = 8809117
    linda = IlikeWorldCup2006
建立目錄訪問權限控制文件
````````````````````````
在服務器端，新建 ``arm\conf\authz.conf`` 文件，內容如下::

    [groups]
    g_vip = morson
    g_manager = michael
    g_beijing = scofield
    g_shanghai = lincon
    g_headquarters = rory, linda
    g_docs = linda

    [arm:/]
    @g_manager = rw
    * = r

    [arm:/diary/headquarters]
    @g_manager = rw
    @g_headquarters = rw
    @g_vip = r
    * =

    [arm:/diary/beijing]
    @g_manager = rw
    @g_beijing = rw
    @g_vip = r
    * =

    [arm:/diary/shanghai]
    @g_manager = rw
    @g_shanghai = rw
    @g_vip = r
    * =

    [arm:/ref]
    @g_manager = rw
    @g_docs = rw
    * = r

    [arm:/temp]
    * = rw


導入代碼
````````
在客戶機 ``F:\temp`` 目錄下，建立好前述“背景假設”一節中描述的目錄結構，然後用命令 ``F:\temp>svn import arm svn://192.168.0.1/arm --username michael --password mysecretpassword`` 導入整個目錄結構。

這條指令的精確意思是，將 arm 目錄下面的所有東西，導入到那個名叫 arm 的代碼庫中去。如果你不指定源目錄，則 svn 會默認將當前目錄作爲源目錄。比如說，你處於 ``F:\temp`` 目錄下的時候，直接執行 ``svn import svn://192.168.0.1/arm`` ，那麼當你取出你的代碼的時候，你會發現，居然多了一層名爲 arm 的目錄。結果，你就必須使用類似  ``svn://192.168.0.1/arm/arm`` 這樣怪異的URL，才能夠正確訪問到你的代碼們。

這一點粗看好像不是特別重要，不過聯想到前述的目錄授權規則，可都是按照標準的項目目錄結構來設計的。突然之間，你項目的根目錄之上，多出了一個名爲 arm 的目錄，那麼我們的所有目錄授權規則，基本上都要全部改過了，否則除了根目錄，你永遠會得到一個莫名其妙的“access denied”。由於 Subversion 在這一步驟上的界面不夠人性化，因此這是初學者很容易弄混的地方之一。

測試
````
在服務器上，打開一個 DOS Prompt 窗口，輸入如下指令::

    svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117

我們應該得到如下目錄結構::

    arm
    ├─diary
    │  └─headquarters
    ├─ref
    └─temp

然後修改ref目錄下任意文件並提交，服務器將會報錯“Access denied”，Bingo!

深入
====

本章將詳細介紹前一章所涉及的兩個配置文件， svnserve.conf 和 authz.conf，通過對配置逐行的描述，來闡明其中的一些細節含義。除此之外的其他配置、安裝等內容，不是本文重點，讀者若有什麼疑問，請參考後面“參考文獻”中列出的一些文檔。

這裏首先要注意一點，任何配置文件的有效配置行，都 **不允許存在前置空格** ，否則程序可能會出錯，給你一個 ``Option expected`` 的提示。也就是說，如果你直接從本文的純文本格式中拷貝了相關的配置行過去，需要手動將前置的4個空格全部刪除。當然了，如果你覺得一下子要刪除好多行的同樣數目的前置空格是一件苦差使，那麼也許 UltraEdit 的“Column Mode”編輯模式，可以給你很大幫助。


svnserve.conf
-------------

``arm\conf\svnserve.conf`` 文件，是 svnserve.exe 這個服務器進程的配置文件，我們逐行解釋如下。

首先，我們告訴 svnserve.exe，用戶名與密碼放在 passwd.conf 文件下。當然，你可以改成任意的有效文件名，比如默認的就是 passwd::

    password-db = passwd.conf

接下來這兩行的意思，是說只允許經過驗證的用戶，方可訪問代碼庫。 那麼哪些是“經過驗證的”用戶呢？噢，當然，就是前面說那些在 passwd.conf 文件裏面持有用戶名密碼的傢伙。這兩行的等號後面，目前只允許 read write none 三種值，你如果想實現一些特殊的值，比如說“read-once”之類的，建議你自己動手改源代碼，反正它也是自由軟件::

    anon-access = none
    auth-access = write

接下來就是最關鍵的一句呢，它告訴 svnserve.exe，項目目錄訪問權限的相關配置是放在 authz.conf 文件裏::

    authz-db = authz.conf

當然，svn 1.3.2 引入本功能的時候，系統默認使用 authz 而不是 authz.conf 作爲配置文件。不過可能由於鄙人是***座的，據說有着強烈的完美主義情結，看着 svnserve.conf 有後綴而 passwd 和 authz 沒有就是不爽，硬是要改了。

上述的 passwd.conf 和 authz.conf 兩個文件也可以作爲多個代碼庫共享使用，我們只要將它們放在公共目錄下，比如說放在 ``D:\svn`` 目錄下，然後在每個代碼庫的 svnserve.conf 文件中，使用如下語句::

    password-db = ..\..\passwd.conf
    authz-db = ..\..\authz.conf

或者::

    password-db = ../../passwd.conf
    authz-db = ../../authz.conf
    
這樣就可以讓多個代碼庫共享同一個用戶密碼、目錄控制配置文件，這在有些情況下是非常方便的。


authz.conf 之用戶分組
---------------------

``arm\conf\authz.conf`` 文件的配置段，可以分爲兩類， ``[group]`` 是一類，裏面放置着所有用戶分組信息。其餘以 ``[arm:/]`` 開頭的是另外一類，每一段就是對應着項目的一個目錄，其目錄相關權限，就在此段內設置。

首先，我們將人員分組管理，以便以後由於人員變動而需要重新設置權限時候，儘量少改動東西。我們一共設置了5個用戶分組，分組名稱統一採用 ``g_`` 前綴，以方便識別。當然了，分組成員之間採用逗號隔開::

    [groups]
    # 任何想要查看所有文檔的非本部門人士
    g_vip = morson

    # 經理
    g_manager = michael

    # 北京辦人員
    g_beijing = scofield

    # 上海辦人員
    g_shanghai = lincon

    # 總部一般員工
    g_headquarters = rory, linda

    # 小祕，撰寫文檔
    g_docs = linda

注意到沒有， linda 這個帳號同時存在“總部”和“文檔員”兩個分組裏面，這可不是我老眼昏花寫錯了，是因爲 Subversion 允許我這樣設置。它意味着，這個傢伙所擁有的權限，將會比他的同事 rory 要多一些，這樣的確很方便。具體多了哪些呢？請往下看！


authz.conf 之項目根目錄
-----------------------

接着，我們對項目根目錄做了限制，該目錄只允許arm事業部的經理才能修改，其他人都只能眼巴巴的看着::

    [arm:/]
    @g_manager = rw
    * = r

- ``[arm:/]`` 表示這個目錄結構的相對根節點，或者說是 arm 項目的根目錄。其中的 arm 字樣，其實就是代碼庫的名稱，即前面用 svnadmin create 命令創建出來的那個 arm。

- 這裏的 ``@`` 表示接下來的是一個組名，不是用戶名。因爲目前 g_manager 組裏面只有一個 michael，你當然也可以將 ``@g_manager = rw`` 這一行替換成 ``michael = rw`` ，而表達的意義完全一樣。

- ``*`` 表示“除了上面提到的那些人之外的其餘所有人”，也就是“除了部門經理外的其他所有人”，當然也包括總經理那個怪老頭

- ``* = r`` 則表示“那些人只能讀，不能寫”


authz.conf 之項目子目錄
-----------------------

然後，我們要給總部人員開放日誌目錄的讀寫權限::

    [arm:/diary/headquarters]
    @g_manager = rw
    @g_headquarters = rw
    @g_vip = r
    * =

這個子目錄的設置有些特色，因爲從需求分析中我們知道，這個子目錄的權限範圍要比其父目錄小，它不允許除指定了的之外其他任何人訪問。在這段設置中，我們需要注意以下幾點：

- 我敢打賭，設計svn的傢伙們，大部分都是在類 unix 平臺下工作，所以他們總喜歡使用 ``/`` 來標識子目錄，而完全忽視在 MS Windows 下是用 ``\`` 來做同樣的事情。所以這兒，爲了表示 ``diary\headquarters`` 這個目錄，我們必須使用 ``[arm:/diary/headquarters]`` 這樣的格式。當然如果你一定要用 ``\`` ，那麼唯一的結果就是，Subversion 會將你的這部分設置置之不理，全當沒看到。

- 這裏最後一行的 ``* =`` 表示，除了經理、總部人員、特別人士之外，任何人都被禁止訪問本目錄。這一行是否可以省略呢？不行，因爲 **權限具備繼承性** ，子目錄會自動擁有父目錄的權限。若沒有這一行，則所有帳號都可以讀取 ``/diary/headquarters`` 目錄下的文件。因爲雖然我們並沒有設置這個目錄的父目錄權限，可是默認的規則使得 ``/diary`` 目錄的權限與根目錄完全一樣，從而讓其餘帳號獲得對 ``/diary/headquarters`` 目錄的 r 權限。所以簡單來說， ``* =`` 這一句的目的，就是割斷權限繼承性，使得管理員可以定製某個目錄及其子目錄的權限，從而完全避開其父目錄權限設置的影響。

- 之所以這兒需要將 ``@g_vip = r`` 一句加上，就是因爲存在上述這個解釋。如果說你沒有明確地給總經理授予讀的權力，則他會和其他人一樣，被 ``* =`` 給排除在外。

- 如果衆位看官中間，有誰玩過防火牆配置的話，可能會感覺上述的配置很熟悉。不過這裏有一點與防火牆配置不一樣，那就是各個配置行之間，沒有 **先後順序** 一說。也就是說，如果我將本段配置的 ``* =`` 這一行挪到最前面，完全不影響整個配置的最終效果。

接下來我們看看這一段::

    [arm:/ref]
    @g_manager = rw
    @g_docs = rw
    * = r

這裏的主要看點，就是 g_docs 組裏麪包含了一個 linda 帳號，她也同時在 g_headquarters 組裏面出現，這就意味着， linda 將具備對 ``/ref`` 和 ``diary\headquarters`` 兩個目錄的讀寫權限。

authz.conf 之目錄表示法
-----------------------
在前面的描述中，我們都採用 ``[repos:/some/dir]`` 這樣的格式來表示項目的某個目錄，比如上一小節中的 ``[arm:/diary/headquarters]`` 。而實際上，Subversion 允許你採用 ```[/some/dir]`` 這樣的格式，即不指定代碼庫的方式來表示目錄，此時的目錄就匹配所有項目。

對於使用 svnserve 的用戶來說，只有當 svnserve 運行的時候使用了 ``-r`` 參數，並且讓多個代碼庫共享同一個目錄權限文件（即 authz.conf 或 authz）時，不指明代碼庫名稱纔有可能惹麻煩。一般情況下，我們對每個代碼庫都會獨立使用配置文件，畢竟每個項目的目錄結構，都有很大不同，混在一起意義不大。因此一般來說，爲簡潔起見，都可以不指明代碼庫名稱。本文全都指明瞭代碼庫名稱，主要是爲了將來擴展成同一個配置文件，以方便配合 Apache 服務器。

對於使用 Apache 的用戶來說，它們二者可有着很大的不同，因爲此時往往習慣於使用一個公共的目錄權限配置文件。如果你使用了 SVNParentPath 指令，則指定版本庫的名字是很重要的，因爲假若你使用後者，那麼 ``[/some/dir]`` 部分就會與所有代碼庫項目的 ``[/some/dir]`` 目錄匹配。如果你使用 SVNPath 指令，則這兩種表示方式就沒有什麼區別了，畢竟只有一個版本庫。

authz.conf 的其他注意點
-----------------------
1. 父目錄的 ``r`` 權限，對子目錄 ``w`` 權限的影響

把這個問題專門提出來，是因爲在1.3.1及其以前的版本里面，有個bug，即某個帳號爲了對某個子目錄具備寫權限，則必須對其父目錄具備讀權限。因此現在使用了1.3.2及其更高的版本，就方便了那些想在一個代碼庫存放多個相互獨立的項目的管理員，來分配權限了。比如說央舜公司建立一個大的代碼庫用於存放所有員工日誌，叫做 diary，而arm事業部只是其中一個部門，則可以這樣做::

    [diary:/]
    @g_chief_manager = rw

    [diary:/arm]
    @g_arm_manager = rw
    @g_arm = r

這樣，對於所有arm事業部的人員來說，就可以將 svn://192.168.0.1/diary/arm 這個URL當作根目錄來進行日常操作，而完全不管它其實只是一個子目錄，並且當有少數好奇心比較強的人想試着 checkout 一下 svn://192.168.0.1/diary 的時候，馬上就會得到一個警告“Access denied”，哇，太酷了。

2. 默認權限

如果說我對某個目錄不設置任何權限，會怎樣？馬上動手做個試驗，將::
   [diary:/]
    @g_chief_manager = rw

改成::

    [diary:/]
    # @g_chief_manager = rw

這樣就相當於什麼都沒有設置。在我的 svn 1.3.2 版本上，此時是禁止任何訪問。也就是說，如果你想要讓某人訪問某目錄，你一定要顯式指明這一點。這個策略，看起來與防火牆的策略是一致的。

3. 只讀權限帶來的一個小副作用

若設置了::
    [arm:/diary]
    * = r
則 Subversion 會認爲，任何人都不允許改動 diary 目錄，包括刪除、 **改名** ，和 **新增** 。

也就是說，如果你在項目初期創建目錄時候，一不小心寫錯目錄名稱，比如因拼寫錯誤寫成 dairy，以後除非你改動 authz.conf 裏面的這行設置，否則無法利用 svn mv 命令將錯誤的目錄更正。

4. anon-access 屬性對目錄權限的影響

你想將你的代碼庫開放給所有人訪問，於是你就開放了匿名訪問權限，在 svnserve.conf 文件中添加一行： ``anon-access=read`` 。可是對於部分目錄，你又不希望別人看到，於是針對那些特別目錄，你在 authz.conf 裏面進行配置，添加了授權訪問的人，並添加了 ``* =`` 標記。你認爲一切OK了，可是你缺發現，那個特別目錄卻無法訪問了，總是提示 ``Not authorized to open root of edit operation`` 或者 ``未授權打開根進行編輯操作`` 。你再三檢查你配置的用戶名與密碼，確認一切正確，還是無法解決問題。

原來，Subversion 有個小 bug ，當 ``anon-access=read`` 並且某個目錄有被設置上 ``* =`` 標記，則會出現上述問題。這個 bug 在當前最新版本上（v1.4）還存在，也許在下一版本內可以被改正吧。

解決的辦法是，在 svnserve.conf 中，將 anon-access 設置成 none 。

改進
====

對中文目錄的支持
----------------

上午上班的時候，Morson 來到 Michael 的桌子前面，說道：“你是否可以將我們的北京辦、上海辦目錄，改成用中文的，看着那些拼音我覺得很難受？” Michael 心想，還好這兩天剛瞭解了一些與 unicode 編碼相關的知識，於是微笑地回答：“當然可以，你明天下午就可以看到中文目錄名稱了。”

1. 使用 svn mv 指令，將原來的一些目錄改名並 commit 入代碼庫，改名後的目錄結構如下::

    arm
    ├─工作日誌
    │  ├─總部人員
    │  ├─北京辦
    │  └─上海辦
    ├─公司公共文件參考目錄
    └─臨時文件存放處

2. 修改代碼庫的 authz.conf 文件，將相應目錄逐一改名

3. UTF-8 格式的 authz.conf 文件，以及 BOM

   將配置文件轉換成 UTF-8 格式之後，Subversion 就能夠正確識別中文字符了。但是這裏需要注意一點，即必須保證 UTF-8 文件不包含 BOM 。BOM 是 Byte Order Mark 的縮寫，指 UNICODE 文件頭部用於指明高低字節排列順序的幾個字符，通常是 ``FF FE`` ，而將之用 UTF-8 編碼之後，就是 ``EF BB BF`` 。由於 UTF-8 文件本身不存在字節序問題，所以對 UTF-16 等編碼方式有重大意義的 BOM，對於 UTF-8 來說，只有一個作用——表明這個文件是 UTF-8 格式。由於 BOM 會給文本處理帶來很多難題，所以現在很多軟件都要求使用不帶 BOM 的 UTF-8 文件，特別是一些處理文本的軟件，如 PHP、 UNIX 腳本文件等，svn 也是如此。

  目前常用的一些文本編輯工具中，MS Windows 自帶的“記事本”裏面，“另存爲”菜單保存出來的 UTF-8 格式文件，會自動帶上 BOM 。新版本 UltraEdit 提供了選項，允許用戶選擇是否需要 BOM，而老版本的不會添加 BOM。請各位查看一下自己常用的編輯器的說明文件，看看它是否支持這個功能。

  對於已經存在 BOM 的 UTF-8 文件，比如說就是微軟“記事本”弄出來的，我們可以利用 UltraEdit 來將 BOM 去掉。方法是，首先利用“UTF-8 TO ASCII”菜單將文件轉換成本地編碼，通常是GB2312碼，然後再使用“ASCII TO UTF-8(UNICODE Editing)”來轉換到 UTF-8 即可。當然，這麼操作之前，你肯定得先保證，你的 UltraEdit 保存出來的 UTF-8 文件的確是不帶 BOM 的。