前言
虚拟资源管理平台是在ovirt4.0的基础上开发的,从原有的一个admin用户扩展成三个管理员用户和普通用户,下面简单分析一下其实现权限管理的原理。
数据库表
主要包括三张表:roles(角色表)、roles_group(角色与操作组关系表)、permissions(权限表)
角色RoleType有五种:SystemAdmin、SecurityAdmin、AuditAdmin、UserRole、QuotaConsumer
- roles
- roles_group角色与操作组关系表(操作组id就是actionGroup中的id,也就是动作组的id,)
- permissions权限信息表(也相当于角色和用户的关联表,表示某个用户拥有对某个操作对象的权限,操作对香指存储,虚拟机,模板等对象)
定义操作:
通过VdcActionType进行操作自定义,通过枚举设置操作与操作组的从属关系,而ActionGroup是定义操作组(或者说动作组)
比如瘦客thinClient作为一个操作组,则其包括好多种操作,比如登录VdcLogin和退出VdcLogout等等
// VdcLogin
VdcLogin(5003, ActionGroup.THINCLIENT, QuotaDependency.NONE),
VdcLogout(5004, ActionGroup.THINCLIENT, QuotaDependency.NONE),
- 通过00500_insert_roles.sql初始化角色权限
- 权限验证事务:系统中所有操作Command都提供getPermissionCheckSubjects方法,用来定义执行操作的权限列表
permissionList权限列表中,包含权限对象PermissionSubject,权限对象的属性如下:
- 在系统的各种command的执行时,会检测权限,每个操作Command执行,必须定义操作权限列表,否则会直接提示没有操作权限:
- 最终通过存储过程进行权限查询get_entity_permissions
满足权限的条件判断(1,2必须满足,3,4,5满足其中一个)
- 系统登录用户系统登录用户(user_id) 所属的 角色(role),必须与 操作组(action_group_id) 在 roles_groups 表中有对应关系
role_id IN( SELECT role_id FROM roles_groups WHERE action_group_id = v_action_group_id)
2.必须拥有需要删除的虚拟机的权限( 或者 所属群集、数据中心的权限。有待探讨)
AND (object_id IN(SELECT id FROM fn_get_entity_parents(v_object_id,v_object_type_id)))
3.功能分配了everyone权限
v_everyone_object_id := getGlobalIds('everyone');
ad_element_id = v_everyone_object_id
4.功能分配了该登录用户的权限
ad_element_id = v_user_id
5.功能分配了该登录用户所属用户组的权限
ad_element_id IN(SELECT * FROM getUserAndGroupsById(v_user_id)
权限的增加和删除:
通过 AddPermissionCommand操作添加权限
通过RemovePermissionCommand的paramPermission操作删除权限,根据权限ID删除
getDbFacade().getPermissionDao().remove(perms.getId());
java
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。