DWF通过规则引擎实现授权。DWF提供了基于组织对应用功能授权和基于组织对数据访问授权的权限模型,利用这种授权限模型可以最小粒度控制到数据层面的访问权。
授权模型的主要功能:
- 基于功能授权:基于功能树实现对用户组的快速授权;通常用于增加了新的功能模块,需要对组织进行快速授权;
- 基于组织授权:基于组织和用户实现对应用通道和功能树的授权;
- 数据访问授权:基于组织和用户实现对类和属性的授权;数据访问授权还提供了批量授权模式,可对用户和用户组进行类和类属性的批量授权,大大提高授权的效率;
- 对象授权:对象授权属于数据访问授权范畴,是实现基于规则的数据对象授权方式。
DWF授权模型具有如下特点:
- 快速授权控制顶层功能访问
- 访问控制防止数据异常泄露
- 对象规则实现细粒度数据保护
- 支持统一认证服务集成
基本概念
操作授权项—Operation Authorization Item。在DWF,模块和操作在创建时,系统都会自动建立与它匹配的授权项,授权项是实现权限的基础。
可授权功能树—Function Tree。从应用开始,向下到模块,再到表单,就形成可授权功能树,树上各节点都可以被赋予权限。
权限分配—Authorization。用户和授权项之间的分配关系称为权限分配。
基本功能
授权模型包含:功能授权、数据访问授权二个层次。