本文介绍了一家通讯设备制造企业如何利用Subversion实现精细化的访问控制。需求包括建立多重线索授权体系,详细规定了授权逻辑。文中探讨了Subversion的访问控制文件和钩子机制的优缺点,并提出了一种结合二者,通过访问控制文件控制读操作,用钩子配合规则验证服务处理其他操作的解决方案。
基本信息
用户单位:某通讯设备制造企业
用户规模:200人以上
组织过程水平:中等
CMMI评审等级:3级
Subversion使用时间:2年
客户需求
该公司对Subversion访问控制的需求主要包括
精细化的授权体系
1、多重线索的授权体系:
根据公司实际需求,一个人的需求由以下三条线索决定:
- 个人在公司中的角色,如总经理、配置管理员、系统管理员等
- 个人在项目中的角色,如项目经理,程序员,测试人员等
- 个人特定的权限
权限的设定遵循以下逻辑
- 对于某个文件或目录的授权状态分为授权、未授权和禁止授权三种方式
- 下级文件或目录如果未授权(处于未授权状态),则遵循其上级目录(如其上级目录也处于未授权状态,则逐级上索)
- 不同线索的授权发生重叠时,相同的授权采用“与”逻辑操作,禁止授权和授权发生冲突时遵循“禁止授权”操作
另外对控制的粒度
- 在提交操作中要能区分修改、创建及删除操作
- 操作的对象要能区分文件和目录
- 特别的排除逻辑
问题解析
Subversion的访问控制技术上有通常有两种实现途径,一是访问控制文件(一个纯文本文件),以路径为线索的访问控制,其控制内容为读和写,支持用户和用户组两种授权模式。而是钩子(主要是Pre-Commit)。
其中,访问控制文件是最简单和直观的实现方式,在需求相对简单和数据量较小的情况下可以通过直接修改该文件来实现访问控制,但对于大数据量和较为复杂的控制逻辑,实现起来就非常困难了——因
最低0.47元/天 解锁文章
扫一扫
248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
