任何一个开放系统(Open System), 只要它与外界有接口, 就存在安全问题, 越是商业级应用越注重安全. 安全管理涉及很广, 大到整个网络安全的设定,小到具体按钮的访问, 如果你的系统哪天出现安全问题, 没准追根溯源能找到机房看门老头, 呵呵, 玩笑话略过, 今天我们主要看看Drupal的用户权限管理, 也就是访问控制系统.

权限管理的要素
我认为, 一个权限管理系统主要由以下四要素组成: 访问者, 管理对象, 操作和规则.

• 访问者: 谁干? who. 一般来说是人, 严格来说应该叫主动体, 这要看你的系统面向哪些用户, 一般系统人机接口,机机接口都是存在的. 反正就是那些通过你系统开发的接口与你交互的东东.
• 管理对象: 干谁? which. 就是被管理的东西, 比如仓库里的粮食, 博客系统的文章, 总之, 任何有管理要求的东西. 千万要记住的一点是: 就算垃圾也是有管理要求的.
• 操作: 干什么? what. 对应具体操作, 比如写文章, 运粮食, 倒垃圾...
• 规则: 怎么干? how, when, where, 定义操作实施的附加条件, 比如登陆时间等.

READMORE