淺析內(nèi)容管理系統(tǒng)(CMS)的角色管理
隨著企事業(yè)單位信息化的加速發(fā)展,特別是政府、事業(yè)單位、企業(yè)等領(lǐng)域,由于日常部門(mén)較多、分工較細(xì)化,對(duì)用戶訪問(wèn)權(quán)限控制管理的靈活性、易維護(hù)性提出了更高的需求,因此,高效且先進(jìn)的權(quán)限控制方式是十分必要的。對(duì)于在網(wǎng)站環(huán)境中的訪問(wèn)控制方法,基于角色的訪問(wèn)控制方法(RBAC)是目前公認(rèn)的解決中大型網(wǎng)站信息化的統(tǒng)一資源訪問(wèn)控制的有效方法。其顯著的兩大特征是:
1、減小授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷(xiāo)。
2、靈活地支持網(wǎng)站的安全策略,并對(duì)網(wǎng)站職能的變化有很大的伸縮性。
動(dòng)易SiteFactory? CMS 正是一套以面向政府、事業(yè)單位、企業(yè)等領(lǐng)域?yàn)殚_(kāi)發(fā)對(duì)象的企業(yè)級(jí)內(nèi)容管理系統(tǒng),它采用的就是基于標(biāo)準(zhǔn)RBAC模型(角色)的訪問(wèn)控制方法。如下圖所示,傳統(tǒng)權(quán)限與動(dòng)易SiteFactory? CMS角色的對(duì)比圖:
從對(duì)比可以看出,目前國(guó)內(nèi)大大小小的內(nèi)容管理系統(tǒng)(CMS)和信息管理系統(tǒng),大都采用的是靜態(tài)的權(quán)限控制方法或者會(huì)員組的較原始權(quán)限形態(tài),不能夠滿足目前互聯(lián)網(wǎng)信息爆炸時(shí)代的高維護(hù)性、高靈活性、高統(tǒng)一性的特點(diǎn),特別是各信息門(mén)戶、復(fù)雜網(wǎng)店及行業(yè)垂直信息領(lǐng)域的應(yīng)用需求,因此,角色(RBAC模型)在CMS中的應(yīng)用必將是趨勢(shì)所在。那么,它究竟有何魔力呢?今天將要介紹的內(nèi)容就是結(jié)合動(dòng)易SiteFactory?中角色的權(quán)限分配來(lái)為你解答。
角色的概念
角色是用戶在某個(gè)環(huán)境中的身份,這個(gè)身份擁有某些相匹配的權(quán)限。角色也一種是自定義權(quán)限的集合,您可以建立多個(gè)角色,并給每個(gè)角色指定多個(gè)權(quán)限。 例如學(xué)校網(wǎng)站的教師、學(xué)生、論壇管理員都是一種角色。對(duì)于每一個(gè)角色,他可以擁有一系列權(quán)限,而這些權(quán)限是相對(duì)固定的。
動(dòng)易SiteFactory? CMS的角色是通過(guò)標(biāo)準(zhǔn)RBAC(基于角色的訪問(wèn)控制)模型實(shí)現(xiàn)的,下圖為SiteFactory? CMS中角色應(yīng)用舉例示意圖。我們建立了“倉(cāng)管”、“財(cái)務(wù)人員”、“銷(xiāo)售員”、“設(shè)計(jì)師”、“欄目編輯”、“總編”等角色,并且它們都具有相對(duì)獨(dú)立的控制權(quán)限。將張三、李四、王五賦予不同的角色后,他們就擁有了一系列權(quán)限。從圖中看出用戶與角色是多對(duì)多的關(guān)系。即一個(gè)用戶可以屬于多個(gè)角色之中,一個(gè)角色可以包括多個(gè)用戶。
角色的特點(diǎn)
1、訪問(wèn)權(quán)限與角色相關(guān)聯(lián),不同的角色有不同的權(quán)限。用戶以什么樣的角色對(duì)資源進(jìn)
行訪問(wèn),決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。
比如:我們使用動(dòng)易SiteFactory? CMS在后臺(tái)添加一個(gè)“訂單處理員”的角色,擁有“查看訂單”、“修改訂單”、“刪除訂單”、“訂單作廢”的權(quán)限;添加“訂單結(jié)算員”的角色,擁有“訂單過(guò)戶”、“訂單關(guān)閉”的權(quán)限。賦予張三“訂單處理員”的角色,那么張三就擁有了“查看訂單”、“修改訂單”、“刪除訂單”、“訂單作廢”的權(quán)限,而不具備“訂單結(jié)算員”的權(quán)限。
2、角色繼承。角色之間可能有互相重疊的職責(zé)和權(quán)力,屬于不同角色的用戶可能需
要執(zhí)行一些相同的操作。RBAC 采用角色繼承的概念,如:角色 2 繼承角色 1,那么管理員在定義角色 2 時(shí)就可以只設(shè)定不同于角色1 的屬性及訪問(wèn)權(quán)限,避免了重復(fù)定義。
比如:我們需要對(duì)“訂單處理員”和“訂單結(jié)算員”進(jìn)行人員管理和操作監(jiān)督,需要建立“訂單監(jiān)督員”這么一個(gè)角色,它必須擁有處理員和結(jié)算員的權(quán)限外,還需要擁有“角色管理”、“查看操作日志”、“投訴管理”的權(quán)限,因此,根據(jù)角色的繼承特點(diǎn),在SiteFactory? CMS 后臺(tái)的角色管理中,只需要給“訂單監(jiān)督員”添加“角色管理”、“查看操作日志”、“投訴管理”的權(quán)限,然后同時(shí)賦予李四“訂單監(jiān)督員”、“訂單處理員”、“訂單結(jié)算員”的角色就可以了。
* 角色的繼承特點(diǎn)也是區(qū)別與傳統(tǒng)會(huì)員組的比較明顯的特點(diǎn)了。
3、最小權(quán)限原則,即指用戶所擁有的權(quán)力不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。實(shí)現(xiàn)最小特權(quán)原則,需要分清用戶的工作職責(zé),確定完成該工作的最小權(quán)限集,然后把用戶限制在這個(gè)權(quán)限結(jié)合的范圍之內(nèi)。一定的角色就確定了其工作職責(zé),而角色所能完成的事物蘊(yùn)涵了其完成工作所需的最小權(quán)限。用戶要訪問(wèn)信息首先必須具有相應(yīng)的角色,用戶無(wú)法饒過(guò)角色直接訪問(wèn)信息。
比如:以動(dòng)易SiteFactory? CMS投稿功能為例,會(huì)員添加文章后需要等待管理員進(jìn)行審核,審核的過(guò)程中可能會(huì)涉及到文章的修改、退稿、存檔、刪除、短信通知的操作,因此,如果我們需要建立專(zhuān)門(mén)的文章審核員,那么它需要至少擁有文章的修改、退稿、存檔、刪除、短信通知的操作權(quán)限,那么文章審核員的最小權(quán)限就是以上的操作權(quán)限。這樣,不僅讓各環(huán)節(jié)人員清楚自己的工作職責(zé),而且可以對(duì)網(wǎng)站權(quán)限的合理分配進(jìn)行優(yōu)化。
4、職責(zé)分離。一般職責(zé)分離有兩種方式:靜態(tài)和動(dòng)態(tài)。
靜態(tài)是固定的限制某類(lèi)用戶的控制權(quán)限;
動(dòng)態(tài)是如用戶組、角色等可以管理員動(dòng)態(tài)控制用戶的控制權(quán)限。目前一些主流的CMS都是以動(dòng)態(tài)為主。
動(dòng)易SiteFactory? CMS 職責(zé)分離進(jìn)行了加工,不僅可以根據(jù)傳統(tǒng)的后臺(tái)管理功能權(quán)限來(lái)劃分,而且可以根據(jù)不同欄目、模型的字段權(quán)限(如:錄入、刪除、瀏覽)等進(jìn)行劃分??梢哉f(shuō)將權(quán)限劃分管理從“片”精確到了“點(diǎn)”上。
角色的應(yīng)用優(yōu)勢(shì)
1、接近現(xiàn)實(shí)世界
在現(xiàn)實(shí)世界中,角色間往往存在著相互排斥性。例如,一個(gè)銀行系統(tǒng)中,如果某個(gè)用戶是貸款角色中的一員,那么這個(gè)用戶絕對(duì)不可以再屬于借款角色。顯然,角色間相互排斥性的存在是十分必要的,它避免了用戶為自己的利益而對(duì)組織進(jìn)行破壞活動(dòng)。由此可見(jiàn),角色模型直接體現(xiàn)出了現(xiàn)實(shí)世界中普遍存在的角色間的相互排斥關(guān)系以及活躍排斥關(guān)系,較好地把模型與現(xiàn)實(shí)世界中普遍存在的現(xiàn)象結(jié)合在了一起,從而大大縮小了模型與現(xiàn)實(shí)世界的差距,使之接近了現(xiàn)實(shí)世界。
接近現(xiàn)實(shí)世界的最突出的優(yōu)點(diǎn)在于:系統(tǒng)管理員能夠借鑒常識(shí)和現(xiàn)實(shí)中積累的經(jīng)驗(yàn)對(duì)部門(mén)、學(xué)校、企業(yè)的安全政策劃分不同的角色,執(zhí)行特定的任務(wù)。一個(gè)系統(tǒng)建立起來(lái)后主要的管理工作即為授權(quán)或取消用戶的角色。用戶的職責(zé)變化時(shí)只需要改變角色即可改變其權(quán)限;當(dāng)組織功能變化或演進(jìn)時(shí),則只需刪除角色的舊功能,增加新功能,或定義新角色,而不必更新每一個(gè)用戶的權(quán)限設(shè)置。這極大的簡(jiǎn)化了授權(quán)管理,使對(duì)信息資源的訪問(wèn)控制能更好地適應(yīng)特定單位的安全策略。
2、全面性
全面性的優(yōu)勢(shì)體現(xiàn)在為系統(tǒng)管理員提供了一種比較抽象的、與企業(yè)通常業(yè)務(wù)管理性類(lèi)似的權(quán)限訪問(wèn)控制層次。通過(guò)定義、建立不同的角色、角色的繼承關(guān)系、角色之間的聯(lián)系以及相應(yīng)的限制、管理員可動(dòng)態(tài)或靜態(tài)地規(guī)范用戶的行為。
從角色的特點(diǎn)和優(yōu)勢(shì)來(lái)看,內(nèi)容管理系統(tǒng)應(yīng)用角色來(lái)控制用戶訪問(wèn)權(quán)限要比傳統(tǒng)會(huì)員組固定權(quán)限簡(jiǎn)便和專(zhuān)業(yè)的多。特別是角色應(yīng)用的優(yōu)勢(shì)規(guī)定了用戶各盡其職,像公司部門(mén)組織一樣,具有一定的個(gè)人角色和部門(mén)角色。人員關(guān)系、組織的清晰化,利于提高整體網(wǎng)站的業(yè)務(wù)水平、節(jié)省人力成本和優(yōu)化工作流程。
用戶登錄
還沒(méi)有賬號(hào)?
立即注冊(cè)