Liferay 权限策略

最新推荐文章于 2019-06-15 16:58:23 发布
最新推荐文章于 2019-06-15 16:58:23 发布 · 235 阅读 · 0
文章标签:

#SQL #EXT #F# #C# #C++

先上一张大家都很熟悉的图

       这张图可以说是整个liferay的核心,他和权限密不可分,在权限体系里,每一个箭头和UI设置和API一一对应,今天讲权限,不讲代码只讲理论。liferay的权限策略分为五种,默认是采用第五种,因为第五种性能最好,如果要修改则在portal-ext.properies加上permissions.user.check.algorithm=3


讲策略之前我们先讲一下,liferay权限分为几种

     A:Group Role Permission: 用户加入的Group(Community/Organization)所拥有的角色的权限
Is the user connected to one of the permissions via group or organization roles?

 

<sql id="com.liferay.portal.service.persistence.PermissionFinder.countByGroupsRoles">
	<![CDATA[
		SELECT
			COUNT(*) AS COUNT_VALUE
		FROM
			Groups_Roles
		INNER JOIN
			Roles_Permissions ON
				(Roles_Permissions.roleId = Groups_Roles.roleId)
		INNER JOIN
			Permission_ ON
				(Permission_.permissionId = Roles_Permissions.permissionId)
		WHERE
			([$PERMISSION_IDS$]) AND
			([$GROUP_IDS$])
	]]>
</sql>

   

     B:Group Permission: 分配给Group(包括Community/Organization/User Group三类Group)的权限
Is the user associated with groups or organizations that are directly connected to one of the permissions?

 

<sql id="com.liferay.portal.service.persistence.PermissionFinder.countByGroupsPermissions">
	<![CDATA[
		SELECT
			COUNT(*) AS COUNT_VALUE
		FROM
			Permission_
		INNER JOIN
			Groups_Permissions ON
				(Groups_Permissions.permissionId = Permission_.permissionId)
		WHERE
			([$PERMISSION_IDS$]) AND
			([$GROUP_IDS$])
	]]>
</sql>

 

        C:User Role Permission: 分配给用户Regular类型角色的权限
Is the user connected to one of the permissions via user roles?

 

<sql id="com.liferay.portal.service.persistence.PermissionFinder.countByUsersRoles">
	<![CDATA[
		SELECT
			COUNT(*) AS COUNT_VALUE
		FROM
			Users_Roles
		INNER JOIN
			Roles_Permissions ON
				(Roles_Permissions.roleId = Users_Roles.roleId)
		INNER JOIN
			Permission_ ON
				(Permission_.permissionId = Roles_Permissions.permissionId)
		WHERE
			([$PERMISSION_IDS$]) AND
			(Users_Roles.userId = ?)
	]]>
</sql>

   

        D:User Group Role Permission: 用户加Group(Community/Organization)所拥有该社区角色的权限
Is the user connected to one of the permissions via user group roles?

 

<sql id="com.liferay.portal.service.persistence.PermissionFinder.countByUserGroupRole">
	<![CDATA[
		SELECT
			COUNT(*) AS COUNT_VALUE
		FROM
			UserGroupRole
		INNER JOIN
			Roles_Permissions ON
				(Roles_Permissions.roleId = UserGroupRole.roleId and UserGroupRole.groupId = ?)
		INNER JOIN
			Permission_ ON
				(Permission_.permissionId = Roles_Permissions.permissionId)
		WHERE
			([$PERMISSION_IDS$]) AND
			(UserGroupRole.userId = ?)
	]]>
</sql>

 

E:User Permission: 直接分配给user的权限
Is the user directly connected to one of the permissions?

 

<sql id="com.liferay.portal.service.persistence.PermissionFinder.countByUsersPermissions">
	<![CDATA[
		SELECT
			COUNT(*) AS COUNT_VALUE
		FROM
			Permission_
		INNER JOIN
			Users_Permissions ON
				(Users_Permissions.permissionId = Permission_.permissionId)
		WHERE
			([$PERMISSION_IDS$]) AND
			(Users_Permissions.userId = ?)
	]]>
</sql>
 

     F:Role Permission: 分配给角色(包括Regular/Community/Organization三种类型角色)的权限
Is the user associated with a role that is directly connected to one of the permissions?

 

<sql id="com.liferay.portal.service.persistence.PermissionFinder.countByUsersPermissions">
	<![CDATA[
		SELECT
			COUNT(*) AS COUNT_VALUE
		FROM
			Permission_
		INNER JOIN
			Users_Permissions ON
				(Users_Permissions.permissionId = Permission_.permissionId)
		WHERE
			([$PERMISSION_IDS$]) AND
			(Users_Permissions.userId = ?)
	]]>
</sql>
 

讲完了这check权限的分类,我们现在开始讲liferay的权限策略
Algorithm 1. A or B or C or D or E
Algorithm 2. A and B and C and D and E
Algorithm 3. B or E or F
Algorithm 4. B and E and F
Algorithm 5. F

     注意:liferay推荐使用第五种是因为他效率最高,第一、二种是不可能会用到的,因为那是早期版本的设计,有些表例如:Groups_Roles都已经放弃了。如果不是必须不要去修改策略。

     现在说说他的缺点:用过权限开发的人都会发现,他的权限粒度很高,这样带来了一个问题就是效率会变低(虽然他用了大量的cache),最讨厌的是liferay权限体系总是,先把数据全搜索出来,当你要进行操作(VIEW)时,他才会跳出个红框框告诉你,你没有权限,这样很不友好。最典型的是list分页,点其中一条才会告诉你没权限,客户居然投诉:说我们有诱导之嫌。liferay现有的api是肯定做不到直接搜索出合法数据,虽然liferay在有的元素的service层,先把数据全取出来然后再一个一个的过滤来达到这样的效果,这样我觉得实在无法容忍,为了一页20条的数据,你居然要搜索出所有数据。为此我在项目中专门写了一个类,把一些共用的权限sql写了出来

 

public static String getPrimkeyByRolePermission(long companyId, 
			String name, int scope, String actionId, String roleIds){		
		StringBuffer sql = new StringBuffer();
		sql.append("SELECT DISTINCT RESOURCE_.PRIMKEY FROM RESOURCE_ "+
			"LEFT JOIN RESOURCECODE ON (RESOURCE_.CODEID = RESOURCECODE.CODEID) "+
			"LEFT JOIN PERMISSION_ ON (PERMISSION_.RESOURCEID = RESOURCE_.RESOURCEID) "+
			"LEFT JOIN ROLES_PERMISSIONS ON (PERMISSION_.PERMISSIONID = ROLES_PERMISSIONS.PERMISSIONID) ");
		sql.append("WHERE RESOURCECODE.COMPANYID = "+ companyId +" " +
				"AND RESOURCECODE.NAME = '"+ name +"' AND RESOURCECODE.SCOPE = "+ scope +" ");
		sql.append("AND  PERMISSION_.COMPANYID = "+ companyId +
				" AND PERMISSION_.ACTIONID = '"+ actionId +"' AND " +
				"ROLES_PERMISSIONS.ROLEID IN ("+ roleIds +")");
		return sql.toString();
	}
	
	public static String getPrimkeyByRolePermission(long companyId,
			String name, int scope, String actionId, long userId){		
		StringBuffer sql = new StringBuffer();
		sql.append("SELECT DISTINCT RESOURCE_.PRIMKEY FROM RESOURCE_ "+
			"LEFT JOIN RESOURCECODE ON (RESOURCE_.CODEID = RESOURCECODE.CODEID) "+
			"LEFT JOIN PERMISSION_ ON (PERMISSION_.RESOURCEID = RESOURCE_.RESOURCEID) "+
			"LEFT JOIN USERS_PERMISSIONS ON (PERMISSION_.PERMISSIONID = USERS_PERMISSIONS.PERMISSIONID) ");
		sql.append("WHERE RESOURCECODE.COMPANYID = "+ companyId +" " +
				"AND RESOURCECODE.NAME = '"+ name +"' AND RESOURCECODE.SCOPE = "+ scope +" ");
		sql.append("AND  PERMISSION_.COMPANYID = "+ companyId +
				" AND PERMISSION_.ACTIONID = '"+ actionId +"' AND " +
				"USERS_PERMISSIONS.USERID = " + userId) ;
		return sql.toString();
	}
	
	public static String getPrimkeyByGroupPermission(long companyId,
			String name, int scope, String actionId, long userId, long groupId){		
		StringBuffer sql = new StringBuffer();
		sql.append("SELECT DISTINCT RESOURCE_.PRIMKEY FROM RESOURCE_ "+
			"LEFT JOIN RESOURCECODE ON (RESOURCE_.CODEID = RESOURCECODE.CODEID) "+
			"LEFT JOIN PERMISSION_ ON (PERMISSION_.RESOURCEID = RESOURCE_.RESOURCEID) "+
			"LEFT JOIN GROUPS_PERMISSIONS ON (PERMISSION_.PERMISSIONID = GROUPS_PERMISSIONS.PERMISSIONID) +" +
			"LEFT JOIN USERS_GROUPS ON (GROUPS_PERMISSIONS.GROUPID = USERS_GROUPS.GROUPID) ");
		sql.append("WHERE RESOURCECODE.COMPANYID = "+ companyId +" " +
				"AND RESOURCECODE.NAME = '"+ name +"' AND RESOURCECODE.SCOPE = "+ scope +" ");
		sql.append("AND  PERMISSION_.COMPANYID = "+ companyId +
				" AND PERMISSION_.ACTIONID = '"+ actionId +"' AND " +
				"GROUPS_PERMISSIONS.GROUPID = " + groupId +" AND " +
				"USERS_GROUPS.USERID = " + userId) ;
		return sql.toString();
	}
	
	public static String getPrimkeyByPermissionAlgorithm3(long companyId,
			String name, int scope, String actionId, long userId, long groupId){
		StringBuffer sql = new StringBuffer();
		sql.append("SELECT DISTINCT RESOURCE_.PRIMKEY ID FROM RESOURCE_, RESOURCECODE, PERMISSION_, ");
		
		sql.append("(");

		sql.append("SELECT ROLES_PERMISSIONS.PERMISSIONID FROM ROLES_PERMISSIONS " +
				"JOIN USERS_ROLES ON (ROLES_PERMISSIONS.ROLEID = USERS_ROLES.USERID) " +
				"WHERE USERS_ROLES.USERID = " + userId);
		
		sql.append(") AS R, ");
		
		sql.append("(");

		sql.append("SELECT USERS_PERMISSIONS.PERMISSIONID FROM USERS_PERMISSIONS " +
				"WHERE USERS_PERMISSIONS.USERID = " + userId);
		
		sql.append(") AS U, ");
		
		sql.append("(");

		sql.append("SELECT GROUPS_PERMISSIONS.PERMISSIONID FROM GROUPS_PERMISSIONS " +
				"JOIN USERS_GROUPS ON (GROUPS_PERMISSIONS.GROUPID = USERS_GROUPS.GROUPID) " +
				"WHERE USERS_GROUPS.GROUPID = " + groupId);	
		
		sql.append(") AS G ");

		sql.append("WHERE RESOURCECODE.COMPANYID = "+ companyId +" " +
				"AND RESOURCECODE.NAME = '"+ name +"' AND RESOURCECODE.SCOPE = "+ scope +" ");
		sql.append("AND  PERMISSION_.COMPANYID = "+ companyId +
				" AND PERMISSION_.ACTIONID = '"+ actionId + "' ") ;
		
		sql.append("AND RESOURCE_.CODEID = RESOURCECODE.CODEID "+
			"AND PERMISSION_.RESOURCEID = RESOURCE_.RESOURCEID ");	
		
		sql.append("AND (PERMISSION_.PERMISSIONID = R.PERMISSIONID OR " +
				"PERMISSION_.PERMISSIONID = U.PERMISSIONID OR " +
				"PERMISSION_.PERMISSIONID = G.PERMISSIONID)" );

		return sql.toString();
	}

 

      注意:我们到的是策略3,所以我分别写了B,E,F权限SQL,及一个总的Algorithm3SQL,这些SQL返回的都是你要搜索元素的key,这些SQL在liferay中是通用的,只要你是用的liferay的权限他都是合适的,你要把他放在你sql合适的位置,注意最好不要使用in,这样效率是比较低的。

LiferayLiferay权限系统
步行者的专栏
09-02 4677
要在自己的portlet中客户化定义Liferay权限的话,需要做四步工作。 1. 定义所有的资源和他们的权限。 2. 在权限系统中注册在第一步中定义的所有的资源。 3. 对资源分配必要的权限。 4. 在程序中需要使用资源的地方先判断权限。 下面以blog为例。 1. 首先是资源和权限的定义。参考/liferay-portal-src-6.0.X/portal-impl/sr
liferay权限管理(大全)
05-11
liferay权限管理大全,详细介绍了liferay内部的权限管理模型以及运作机制,是liferay权限开发的详细资料
关于liferay权限问题的说明
Pretender
07-19 1049
 权限控制是liferay4.0以后增加的新特性。在liferay中开发权限是一件很容易的事情,基上都是通过定义xml来实现。 默认的权限定义的xml文件放portal/portal-ejb/classes/resource-actions中首先,我们来看看给自己的portlet加上权限控制,主要要完成以下四步操作(DRAC):1. Define all resources a
liferay 权限管理
07-03
本文档详细的描述了liferay权限相关的一些文档,适合学习liferay权限的人观看
Liferay权限管理的讲解
老吴的专栏
09-05 1037
Liferay权限管理的讲解这篇文章讲解了liferay中使用的权限管理系统的内部细节,涉及到数据库表以及实体之间的管理和权限管理的逻辑。下面的ERD图(实体关图)展现了所有涉及到的实体关系:主要实体首先从表或者本人更喜欢称作实体的表开始,换言之,他们界定的实体定义了关于权限角色的东东。User_:用户最明显主要的一个实体就是“用户”(Users)了。关于权限一个总是被提及的问题是:"Does
Liferay权限开发文档详解
它可能详细讲解了如何操作Liferay控制面板,如何分配角色权限,以及如何根据不同的业务需求定制权限策略。 11. liferay.zip 该压缩文件可能包含了Liferay平台相关的安装包、源代码、插件、模板或者其他资源文件。...
Liferay6.1 权限管理
11-29
- **安全性和扩展性**:二次开发可以帮助企业根据自身需求定制更高级的安全策略权限模型,增强系统的安全性和灵活性。 总之,Liferay 6.1 的权限管理功能为用户提供了一个强大而灵活的工具,使得管理员能够在复杂...
Liferay权限系统解析:企业管理与组织结构
"liferay权限介绍" 在Liferay中,权限系统是其核心功能之一,它允许管理员精细控制用户对平台内容、服务和功能的访问。本文主要针对Liferay权限管理进行详细介绍,适合初学者入门。 1. **权限体系结构** ...
Liferay权限系统详解:从定义到管理
Liferay提供了丰富的管理工具,允许管理员根据业务需求灵活地设置和调整权限策略。这包括对角色权限分配,以及对特定用户或用户组的权限定制。 附录部分可能包含了更详细的变更历史和审阅信息,以及可能的使用...
Liferay权限深度解析:模型与配置实战
Liferay权限开发总结 Liferay权限体系自4.0版本以来经历了一定的演变,以适应日益复杂的应用需求。最初的jsr168规范中的基于角色(Role)的权限设计虽然提供了基础的技术框架,但在实际应用中,权限管理的扩展性和...
liferay+cas实现单点登录步骤
11-29
liferay+cas实现单点登录详细步骤,照着做就可以用,我用的是liferay 6.1.x
liferay 权限策略
战斗机
03-09 130
先上一张大家都很熟悉的图 [img]http://dl.iteye.com/upload/attachment/432432/5095700f-ae44-3f42-b634-47220fce6376.png[/img] 这张图可以说是整个liferay的核心,他和权限密不可分,在权限体系里,每一个箭头和UI设置和API一一对应,今天讲权限,不讲代码只讲理论。liferay的权...
liferay学习2--用户体系及权限体系简单说明
夢の殇
08-17 1648
Liferay权限体系几经变动,不同的版本里面有不同的权限结构,现在的Liferay6.1.1版本里面的权限体系,可以算是经过多次进化的版本6,虽然权限体系有不同,但一些基础的概念还是通用的,在介绍Liferay权限体系之前,有一些基本的概念需要了解。 Liferay里面的常用概念  用户(Users) Users代表系统的物理用户,是人们用来登录系统的用户账号。默认情况下,用户可以获得他
liferay新增权限(一)
Tyler_Zhou
02-14 170
liferay的很大一的一个特色就是权限,他的权限的确很棒,可以说帅的掉渣.首先在ext-impl/classes/下建一个文件夹resource-actions/default-ext.xml,假如我们要对数据库的order这个表做权限,那么我们再建一个order.xml,在default-ext.xml包含这个order.xml这个文件,如下: 所有新建的对象的权限文件都要包含...
2.Liferay Portal的用户策略
思维加速度
09-17 202
第二节 Liferay Portal的用户策略 Liferay Portal通过定义严谨的用户策略、灵活的可个性化定制的内容和布局以及丰富可定制的品质策略,实现灵活的可定制的产品理念。 Liferay Portal采用用户-用户组-角色-Portlet的关联方式来实现用户权限的管理。用户录属于用户组(也可以单独存在),该用户组具有某种(多种)角色角色分配给用户组,也可以直接分配给用户。而操作...
权限表制作
weixin_44540780的博客
06-15 432
开发工具与关键技术:mvc 作者:黄志鹏 撰写时间:2019/6/9 在我们在项目的时候我们需要设置不同使用者的使用权限,我们对使用权限大者我们赋予最大权限可以操作项目的所以功能,对于使用权限中等者,我们让其操作部分功能以及查看部分页面。而对于不需要操作项目太多功能的使用者来说,我们只让其操作相应的功能及页面即可。下面我们就来说说在数据库的怎么制作权限表。 首先我们在数据库中先制作一个用户表,我们...
Liferay Portal 用户+角色+权限管理使用让我们的项目更加专注于业务开发 (四)
笔记本
09-22 3212
介绍用Liferay Portal如何实现用户+角色+权限管理来
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值