位运算和权限管理系统
在Linux文件系统中,用户对文件或目录有:读、写、执行三种权限,分别使用数字:4、2、1三个数字。三者之间可任意组合,如:用户拥有所有权限,则用数字7表示(4+2+1=7);用户拥有读、写权限则用数字6表示(4+2=6)。可以看出,基于数字加减的权限设置在使用中非常便利。其对权限的控制,本质上是基于位运算实现的。掌握位运算,不仅可以更加深入的理解Linux权限控制,更可以在自己项目中实现简单高效的、基于位运算的权限管理系统。
1. Linux基于位运算的权限控制
Linux权限控制是基于位运算实现的。
在Linux权限系统中,读、写、执行权限分别对应三个状态位:
读 写 执行 二进制 十进制
0 0 1 ==> 001 ==> 1
0 1 0 ==> 010 ==> 2
1 0 0 ==> 100 ==> 4
0 1 1 ==> 011 ==> 3
1 0 1 ==> 101 ==> 5
1 1 0 ==> 110 ==> 6
1 1 1 ==> 111 ==> 7
如上所示,“执行”权限使用二进制为001,即:十进制1。“写入”权限使用二进制为010,即:十进制2。“读取”权限使用二进制为100,即:十进制4。
2. 或运算实现权限的添加
增加权限使用或(|)运算实现。
如,为用户增加“读取”、“写入”两种权限
读 写 执行 二进制 十进制
0 1 0 ==> 010 ==> 2
1 0 0 ==> 100 ==> 4
1 1 0 ==> 110 ==> 6 // 或(|)运算结果
“读写”两种权限,权限码为6(110),其由权限码2(010)和4(100)进行或(|)运算后实现,即:6 = 2|4,也可以由6=2+4计算得出。
3. 与运算实现权限的判断
在需要进行用户权限判断时,可以使用与(&)运算判断用户是否据有某项权限。
如,判断权限码为6用户是否有读取权限:
读 写 执行 二进制 十进制
1 1 0 ==> 110 ==> 6
1 0 0 ==> 100 ==> 4
1 0 0 ==> 100 ==> 4 // 与(&)运算结果
权限码6(110)和4(100)的与运算结果为4,即:4=6&4。
判断权限码为6用户是否有执行权限:
读 写 执行 二进制 十进制
1 1 0 ==> 110 ==> 6
0 0 1 ==> 001 ==> 1
0 0 0 ==> 000 ==> 0 // 与(&)运算结果
权限码6(110)和1(001)的与运算结果为0,即:0=6&1。
根据与运算的计算规律,当运算结果为所要判断权限本身值时,我们可以认为用户具有这个权限。而当运算结果为 0 时,我们可以认为用户不具有这个权限。
4. 非运算实现权限的减少
位运算同样可以实现用户权限的减少,减少用户权限使用非(^)运算。
如,将权限码为7用户,移除执行权限:
读 写 执行 二进制 十进制
1 1 1 ==> 111 ==> 7
0 0 1 ==> 001 ==> 1
1 1 0 ==> 110 ==> 6 // 非(^)运算结果
权限码7(111)和1(001)的非运算结果为6,即:6=7^1,也可以由6=7-1计算得出。
5. 位移与权限码
从上面的介绍可以看出,在权限管理系统中每操作的权限码都是唯一的。而基于位运算的权限管理系统,要求每个权限码的二进制数形式,都只能有一位值为1。
所使用的权限码,可以将前一个权限码``左位移一位得到下一个权限码,即:
- 权限码
1(001),即:20 -
2=1<<1,即:将001左移1位为010,也即:由20变为21 -
4=2<<1,即:将010左移1位为100,也即:由21变为22 -
8=4<<1,即:将100左移1位为1000,也即:由22变为23
简单的说,权限码都是2的幂数,2<sup>0</sup>、2<sup>1</sup>、2<sup>2</sup>、2<sup>3</sup>、……2<sup>n</sup>依次对应权限码1、2、4、8……n。
相关说明
基于位运算的权限管理,其运算运算对象是二进制数,优点是:运算速度快、效率高、节省存储空间、对权限控制非常灵活。所有语言都提供了位运算符,我们可以在不同语言实现的系统、甚至数据库中使用位运算实现对用户权限的管理。
位运算也有一些局限性,随着权限码增加,数据长度也相应的增长。这就要求权限码不能超过计算本身运算长度,在数据库中存储权限码时,权限码长度也不能的超过所使用数据类型。如:在32位系统中不能超过2<sup>32</sup>,也就是权限数量不能多于32个。而mySQL数据库的BIGINT,其存储空间为8Byte,使用BIGINT存储存储码时,权限数不能多于64个(8*8-1)。
简述RBAC基于角色的访问控制系统 (Role-Based Access Control)
每个权限增加了一个权限位,用作分级
permission表
id name method/url value Position
1 查看帖子 get 1 0
2 发布帖子 post 2 0
3 修改帖子 update 4 0
4 删除帖子 delete 8 0
5 新增用户 addUser 1 1
角色对应表
id uid perId permission_sum
1 1 1 {"0":[2,3,4]}
2 1 3 {"0":[{"0":[1,2,3]}, {"1":[1,2,3]}, {"2":[1,2,3]} ]}
permission_sum权限位分类
{
"0":[
{
"0":[
1,
2,
3
]
},
{
"1":[
1,
2,
3
]
},
{
"2":[
1,
2,
3
]
}
]
}
public class User {
private Integer userId;
private String name;
private String password;
}
public boolean hasPermission(Permission permission){
int position = permission.getPosition();
long number = permission.getPermissionNum();
return !((permissionSum[position] & number) == 0);
}
由于目前时间,没有详细设计,提供一个思路,具体实现是要再进一步确认;
image.png
每个用户的权限值就需要用一个数组来存储,其下标为0的对应着权限位为0的权限值和,
转自 : https://itbilu.com/other/relate/4yJxR6awl.html#linux-bit
https://www.zhihu.com/question/275852963/answer/383522729
https://blog.csdn.net/followMyInclinations/article/details/72123429
https://mp.weixin.qq.com/s/reKtFpQByDcAtzinobNq_Q
