簡介

Apache Open For Business(Apache OFBiz) 是Apache開源的一個經典ERP專案。它提供了一套企業應用，用於整合以及自動化一些企業的“商業流程”。

從學習角度來看，它也是一個非常不錯的企業級應用框架。這篇文章從OFBiz的許可權設計這一切入點來談談OFBiz對於應用系統的許可權設計。

設計思想簡述

OFBiz採用的“安全組”（Security Group）來將"許可權"跟"使用者"聯絡起來。系統中有若干種許可權，比如系統預置的許可權、使用者自定義的許可權、資源的許可權、操作的許可權等等，這些許可權會跟安全組建立關係（多對多的關係），而使用者又與安全組建立關係（也是多對多的關係）。

其中，系統預置許可權，是以XML配置的方式匯入資料表的。這些配置檔案通常的路徑為{Component/Application baseDir}/data/XXXSecurityData.xml。這裡有對整個許可權設計相關表的初始化資料。

許可權控制級別

OFBiz對於許可權有如下幾個控制級別：

登入級別

在每個Component的根目錄下的ofbiz-component.xml檔案下，有對於訪問該component的“最基本的許可權”定義。所謂最基本的許可權，就是登入該component的使用者需要至少擁有該檔案內定義的許可權才可以訪問。示例：

見其中的“base-permission”屬性。可以看到它包含了兩個許可權值——OFBTOOLS/FACILITY，這也意味著你必須同時擁有這兩個許可權才能訪問該元件。而通常一個Component也會同時包含許可權“OFBTOOLS”以及許可權“COMPONNENT-NAME_VIEW”，這樣配置的目的是OFBTOOLS用於對web app的訪問進行控制，而COMPONNENT-NAME_VIEW用於控制瀏覽web app的資訊。

component 選單級別

component的頂級選單顯示的元件將只對登入過的使用者（並且這些使用者至少具有“WEBAPP-NAME_VIEW”或者“COMPONENT_NAME-ADMIN”許可權）顯示，這跟登入級別的限制相似。這種級別的訪問控制實現在“appbar.ftl”中用以控制顯示哪些應用程式的tab bar。

request(controller.xml)級別

這裡有兩個重要的引數，在每個component的webapp下的controller.xml中的每個request（<request-map）標籤有一個security（<security）標籤，包含了兩個屬性：

• https:定義是否對該請求應用SSL加密
• auth:定義是否需要登入才能執行該請求，因此只有在登入成功以及在其他級別上的安全檢查通過後，該請求才會被執行

<!-- Request Mappings -->
    <request-map uri="MarketingReport">
        <security https="true" auth="true"/>
        <response name="success" type="view" value="MarketingReport"/>
    </request-map>

screen級別

在每個component下的widget資料夾下的screen配置檔案中，<section節點下的<condition子節點，存在一個名為<if-has-permission的節點，它有兩個屬性：

• permission：標識位於哪個component
• action：標識執行的動作

permission_action正好構成一個許可權，示例：

相關推薦