權限管理是所有網絡軟件都無法逃避的功能,只要是多用戶使用,就必須爲特定的用戶訪問特定的功能設置權限,從目前的技術上看,無非如下幾種:
【只設置允許權限】
針對特定組或用於,只對於授權訪問的功能設置記錄,這樣在權限計算時,只要登錄人有在權限清單中出現,則具有權限,這樣處理編程比較簡單,但對於配置權限的人就會非常痛苦,尤其是組織結構複雜時,如某個功能對於小組所有成員都可訪問,但x除外,這樣在設置時就要增加多個組,對於不太熟悉邏輯思維的日常管理人員,這樣做無疑是災難,他們寧可一個一個人用戶的添加刪除,也不願用設置後自己也不知是否正確的組技術。其結果往往是放棄權限管理,大家誰都能用,或者不能用。
【可以設置一票否決的拒絕權限】
常用目錄管理的網管員都知道,在目錄權限配置時,是可以設置拒絕權限的,一旦設置了拒絕權限,該組內所有的成員就直接拒絕訪問該目錄,這樣管理員就不用擔心是否有不該訪問的人員在配置組時誤設置了訪問,但這樣做也帶來問題,因爲對組設置了拒絕後,可能本來應可以訪問資源的組內用戶也沒法訪問資源了,而且找原因來很麻煩,因此在設置拒絕時,網管員大多隻對個人設拒絕,而不對組設拒絕。
【通過優先級排序確定最終權限方式】
目前我沒有發現哪個軟件在使用該方式,但在ISA2004服務器的過濾方式配置時,採用了此種架構,該方式的特點是一方面每條權限記錄包括允許和拒絕,但實際的權限是根據權限清單中的順序確定的結果,這種方式其原理類似於編程技巧中採用do...while(false)循環中設置if()..break的方式簡化邏輯運算的方式,如果某個用戶,在第1條記錄中的組出現了,定義允許操作,就不再檢查後面的設置,權限設置人員可以較清楚的通過制定來配置更加有效的權限管理模式。
