权限设计应该看哪方面的书?

jhg

大家帮帮忙,权限设计应该看哪方面的书?我学的棵里面没有涉及过此类问题. 我真是无从下手.

greenflute

印象中权限管理主要是两大要素：角色和权限。设计存在不同的倾向，一个是以人或操作者为基础基于角色的权限控制（RBAC），既可以扁平化，也可以加入分组和继承，另外一个就是以实体或操作为基础进行所谓操作权限和规则集控制（RSBAC），同样权限本身既可以扁平化，也可以分组和继承，权限本身的粒度划分也是一个方面。不同系统侧重点不同，比较复杂的就是两种方式组合使用，或者在系统中设置特定规则或以特例的方式来绕过所选实现方式的弱点。比如Unix系统中用户及用户组权限和高级ACL的共存，同时root又是一个特例。

实现上，既有以数据方式（规则所映射的具体权限数据），也有以规则方式（即判断规则本身）进行存储和管理的，显然规则方式扩展性比较好，但是难度比较大（比如可能涉及到内部嵌入语言问题），数据方式管理较简单，但很可能数据量大而繁琐。也是各有优缺点。

参考技术和系统：
证书和目录管理：Digital Certificate和X.509，LDAP，Novell NDS，MS ActiveDirectory
工作流技术：The Workflow Management Coalition : www.wfmc.org，BPEL
群件：比如Lotus,Exchange


参考书：相关资料很多哦，只给一个例子吧
Artech House - Role-Based Access Control

jhg

谢谢你, 你推荐的Artech House - Role-Based Access Control 是本英语书,有没有德语的或中文的书可以推荐一下,你学校是不是开这门课的,这课叫什么名字?

greenflute

共同学习，呵呵:lol::lol:

这门课？不好意思，还真不知道。:(
推荐这本书是因为手头有，其他的资料浩如烟海，多得要死，随便一搜，大把大把的，呵呵:lol::lol:

看你以前发的帖子，是用php和java的，php的我不知道，java方面的可以参考sun j2ee方面的资料和中文站点，比如cjsdn，j道，或者csdn，好像还有一个灰狐动力（中间件领域的），官方或者研究性的资料实在太多，实在是看不完啊$惨啊$

另外也可以找一个现成的系统了解了解，上手可能会比较快。觉得大多数现存的相关实现还是有很多相似的地方的。

$辛苦$$辛苦$

greenflute

开源权限设计系统，刚从cjsdn上看的
pow2acl : http://sourceforge.net/projects/pow2acl/
security filter : http://sourceforge.net/projects/securityfilter/

认真学

看着有点晕。有点像软件工程上的东西。

flyingpig

权限设计的英文是什么? - 看回复, 你问的是access control?

Role-based access control(RBAC) 和相关的Administrative RBAC (ARBAC) 可以参考下面的link.

http://csrc.nist.gov/rbac/

其他access control 还有DAC (Discretionary Access Control) 和MAC (Mandatory Access Control).

你google一下, 应该能找到这方面文献.  德文的我不清楚, 你也可以google一下, 看有没有.