从sakai的用户注册功能窥其权限设计
你会觉得sakai的新用户注册功能是很简单的。的确,如果你在官方demo的基础上只需要配置一个tool就好了,但如果没有一些原始数据呢,即如果将demo中默认的realm删除掉,你还能轻松配置这个功能吗?这背后就涉及到sakai的realm策略及其实现。
我理想的权限设计包括这些部分:资源、情景、角色、用户、操作。某个用户在特定情景下,扮演某个角色,去操作某个资源。用编程实现就是:用url表示情景,根据数据库中的记录,可以计算出用户此时的角色,角色则是一个集合,包含了某个资源是否可以被操作的直接信息。
Sakai的权限思路是:资源+操作+用户。
上pp,下面是添加用户时的堆栈情况。
其中unlock是权限检查,决定addUser是否能执行。Unlock在SakaiSecurity.java中。
如上所示,如果是超级用户登录,这个操作被允许;再看有没有暴露给外部的仲裁接口即Advisor;最后再检查授权组的权限,即checkAuthzGroups()函数,在这里,其第四个参数azgs其实就是realm列表,这里是null。
看看第309行,getAuthzGroups,是怎么获得realm的。
跟下去,会跟到BaseUserDirectoryService.java中getEntityAuthzGroups
在1697行和1699行,添加了两个realm,一个是以资源本身的id为realm;另一个根据userId的userType绑定资源的realm,如下代码。
所以,realm就找好了。下面是
isAllowed(String userId, String lock, Collection<String> realms) 在DbAuthzGroupService.java中。然后就在数据库中寻找相应realm对应的权限,下面是sql语句:
select count(1) from sakai_realm_rl_fn,sakai_realm force index (ak_sakai_realm_id) where sakai_realm_rl_fn.realm_key = sakai_realm.realm_key and sakai_realm.realm_id in (x'2f757365722f31646466626235392d633734342d346462652d383533332d383334343634636661363433',x'21757365722e74656d706c617465') and function_key in (select function_key from sakai_realm_function where function_name = x'757365722e616464') and (role_key in (select role_key from sakai_realm_rl_gr where active = '1' and user_id = null and realm_key in (select realm_key from sakai_realm where sakai_realm.realm_id in (x'2f757365722f31646466626235392d633734342d346462652d383533332d383334343634636661363433',x'21757365722e74656d706c617465'))) or role_key in (select role_key from sakai_realm_role where role_name = '.anon') )
总结:
1、要使用注册用户功能,必须构造名称为!user.template的realm,并赋予.anon角色user.add的权限。
2、对资源的控制,都在!user.template中(用户信息也是一种资源)。
