问题标签 [role-base-authorization]

我正在构建一个 Web 应用程序，并且有一些操作是为已识别的人保护的。

我使用 sping 安全性进行访问控制，但是我不知道如何在深入到数据级别时控制它们。

例如，有两个操作list和edit操作。

theadministrator of the company和 theadministrator of one department都可以访问这些操作，但它们可以“列出”或“编辑”的数据不一样。

administrator of the company可以访问公司的所有数据，而administrator of one department只能访问他/她部门的数据。

所以我想知道实现这些要求的最佳实践是什么？

我有一个组资源，我正在尝试使用适当的授权进行设置。

我试图实现的授权逻辑是这样的：

1. 只有群组成员才能查看他们的群组。
2. 管理员可以查看任何组，也可以执行其他操作。

我正在尝试使用组控制器中的以下 before_filter 语句来执行此操作：

Correct_user 工作，因为我已经验证只有组成员可以查看他们的组。但是，我想要让 admin :show 子句覆盖它，以便管理员可以查看任何组。目前这不起作用。我猜我的过滤器排序和选项有问题。

有人可以告诉我哪里出错了吗？

编辑

根据 Amar 的要求添加我的方法代码：

伙计们，我的数据库中有4 个表，如下所示

• 函数{id, 名称
• Admin_Users {Id，电子邮件，密码，role_id}
• 角色{id, name}
• Role_Functions {id, role_id, function_id}

我正在使用RoR作为 Web 开发环境。

这里，

我想根据登录用户的角色（role-base-authorization）限制控制器访问，我该怎么做？它需要一张新桌子吗？

我用谷歌搜索，阅读教程，博客并进行了很多实验。所以我能够定义对控制器操作的基于角色的访问。一切正常。我想问的是。如何编写规则来显示、编辑和删除用户自己的帖子？

默认情况下，它显示所有帖子。但是，我们可以将数据提供者标准设置为显示自己的帖子。但是我怎样才能控制CRUD呢？请帮助我。我的代码如下。

对于帖子显示：

我正在开发一个学习管理系统。

该系统有几个演员，如学生、导师、管理员、院长等。现在，我需要一个可以处理不同角色的权限系统（学生可以将课程添加到他们的购物篮，导师可以 CRUD 课程，管理员也可以访问财务部分以及等等）

根据我的研究，我需要一些可以处理不同角色的行级权限系统。我见过一些类似的应用程序django-guardian djang-permissions django-rulez，等等。但仍然对如何基于它们设计角色感到困惑（它们没有很好的文档记录）。

任何人都可以给我一个提示来完成这项痛苦的工作吗？

有谁知道如何根据用户在 SCSF 中的角色自定义模块加载行为？

我搜索了 SO，搜索了 ACL、CodeIgniter、基于角色等的所有组合，并找到了许多用于控制对控制器和方法的访问的好产品，但对于提供字段级控制的东西却一无所获。

我下载了几个（phpgacl 和 zend acl），看看是否可以轻松修改它们以满足我对字段级权限的需求。所以在我花时间从头开始创建一个之前......

问题：是否有库和/或最佳实践允许基于用户登录的 字段级限制？

具体来说，根据用户的 AD 组成员身份，我希望有表单字段：

• 没出现
• 出现但只读
• 可编辑

顺便说一句，AD 组成员资格已经在会话变量中可用，所以我不一定需要那个位。我已将其标记为 ACL 和基于角色的，不是为了开始另一个关于差异的讨论，而是因为如果包满足我的需要，我愿意采用任何一种方式。

我已经制作了实现这个定制的 ACL 系统所需的数据库和 php 代码。现在我必须“授权”当前用户，这就是我需要你建议的地方。

该系统基于对系统用户和系统模块的灵活权限分配。它还有一些预定义的，比如说用户组，也可以创建完全自定义的组。全局规则也可以应用在 ACL 之上，但它的优先级低于分配权限的组或用户。

为了更好地描绘它：

预定义组：

1. 有限（禁止访问）
2. 基本用户
3. 高级用户
4. 行政人员
5. 访客（定制组的样本）

以下是访问级别（名称/值对）：

• 不允许 / 0
• 允许 / 1
• 否认 / 2
• 如果所有者允许 / 3

注意：“允许”在“禁止”上具有更高的优先级，所以如果您在 A 组上让用户 X 被“禁止”，但在某个访问权限上 B 组“允许”，那么他最终会“允许”。另一方面，如果用户 X 通过成为“管理员”组的成员而具有“完全访问权限”，但如果他只是在某个访问权限上“拒绝”，则他最终没有访问权限，这意味着“拒绝” “允许”具有更高的优先级。

在顶层，您可能有以下内容：

• "Administrator" * "1"，表示管理员拥有系统的完全访问权限
• "Visitors" * "0"，这意味着访客不允许在任何东西上

我的问题是如何处理这些支票？假设我们有一个简单的授权机制。我们会在我们的$_SESSION['user']like$_SESSION['user']['login'] = true;和中有一些索引$_SESSION['user']['id'] = $row['user_id']，对吧？

现在，如果你想在你的脚本上实现这个机制，你会怎么做？

我可能会首先检查全局访问规则。然后我会看看用户是否已经登录。如果是，只需获取他的所有组，然后查看权限表以查看哪些权限分配给了他的组和他的用户 ID，然后将它们存储在用户会话中。然后，当模块说这是我运行所需的权限时，我会查看用户是否有足够的权限访问所请求的模块。

看起来相当复杂！非常感谢任何帮助或建议！:)

编辑：

我没有使用任何框架。其实我用过，不过是我自己的。所以，这里没有预制的 ACL！

更新：

您对优先考虑（覆盖/替换？）ACL 的有效方法有任何想法吗？

Deny是最高的，然后Allow是Disallow。分配的 ACL也是User最高的，然后是GroupACL，最后是GlobalACL。

这是我最终想到的：

有一个Array，像这样：

首先，我会查找所有 Global Rules *，并将它们放在数组中：

然后，我将寻找基于组的 ACL：

毕竟，我会寻找用户分配的 ACL：

我想它会完美运行，有什么想法吗？

它现在工作得很好:)

在 MVC3 中，我们可以使用 [Authorize] 属性限制对控制器的访问，指定用户必须具有管理员角色才能访问类中的任何控制器操作，如下例所示...

但是，如何限制对 MVC3 中整个区域的访问，而不为区域内的每个控制器类指定 [Authorize] 属性？

我在应用程序中有代码

但问题是当我的应用程序运行时，会自动创建一些线程，但原理与上述不同。如何设置？