DWF通过规则引擎实现授权。授权模型负责对功能模型和数据模型进行权限分配管理,
权限模型包括:功能授权、类和属性访问控制、对象访问控制三个层次。DWF通过规则引擎实现授权。DWF提供了基于组织对应用功能授权和基于组织对数据访问授权的权限模型,利用这种授权限模型可以最小粒度控制到数据层面的访问权。
授权模型的主要功能:
- 基于功能授权:基于功能树实现对用户组的快速授权;通常用于增加了新的功能模块,需要对组织进行快速授权;
- 基于组织授权:基于组织和用户实现对应用通道和功能树的授权;
- 数据访问授权:基于组织和用户实现对类和属性的授权;数据访问授权还提供了批量授权模式,可对用户和用户组进行类和类属性的批量授权,大大提高授权的效率;
- 对象授权:对象授权属于数据访问授权范畴,是实现基于规则的数据对象授权方式。
DWF授权模型具有如下特点:
- 快速授权控制顶层功能访问
- 访问控制防止数据异常泄露
- 对象规则实现细粒度数据保护
- 支持统一认证服务集成
...
权限分配—Authorization。用户和授权项之间的分配关系称为权限分配。
2.基本功能
授权模型包含功能授权、类和属性访问控制、对象访问控制三个模块。授权模型包含:功能授权、数据访问授权二个层次。
2.1基本功能
2.1.1
...
基于功能授权
功能授权包括功能树授权和操作授权2个层次,其中“快速授权”是针对功能树的授权方式。
...
基于功能实现对组织的授权,通常用于对新增的功能实现对组织的授权。
2.1.2基于组织授权
基于组织和用户实现对应用通道和功能树的授权。
基于功能的授权和基于组织的授权其本质都是基于组织对功能进行授权。功能授权采用白名单机制,权限粒度为模块、模块操作;即默认普通用户没有查看和操作应用及功能(模块及模块操作)的权限;需要管理员根据实际业务添加用户(组)对具体应用的功能权限。
信息 | ||
---|---|---|
| ||
|
...
2.1.3 操作授权
基于功能授权还有一种情况是基于操作的授权
- 操作授权是针对表单中的操作(按钮)进行授权的方式。
- 默认用户都有对表单操作使用的权限。可通过“操作”控件设置区“开启授权”,在“管理授权”处对指定用户(组)赋予权限时,仅授权用户具有表单中的操作权限,非授权用户无表单中的操作权限。
信息 | ||
---|---|---|
| ||
|
2.1.2类和属性访问控制4 数据访问控制
”访问控制“是针对类和类属性的授权方式。访问权限粒度为类、类属性。对类操作访问控制授权包括:新增,删除, 修改,查询;对属性操作访问控制授权包括:编辑,查询。
...
- 独立模式:是按照用户/用户组进行授权;
- 批量模式:可以按照用户/用户组进行“批量允许”或“批量禁止”的授权操作,批量授权模式支持勾选方式 。
2.1.3 5 对象访问控制
针对符合属性授权规则中的对象进行访问控制的方式,称为对象访问授权。
...
4)将前述查询的关联类的结果集与左/右对象的对象授权规则的结果集取交集返回。
2.3 授权规则
(1)权限的继承性:功能授权、类和类属性授权(访问控制)、功能授权权,对组织树(用户组)的授权都具有继承性。(1)权限的继承性:功能授权、类和类属性授权(访问控制),对组织树(用户组)的授权都具有继承性。
(2)当设置了父组织(用户组)的权限,其下的子组织(包括子用户组和用户)会继承父组织的权限规则;如果对某个子用户组或者用户收回权限,该子用户组/用户权限规则优先级高于父组织的权限规则,子用户组/用户的权限将不再受到父用户组的影响。
...