1、 數據庫ACL權限
|
存取級別
|
允許用戶進行以下操作
|
分配給
|
|
管理者
|
修改數據庫 ACL。
加密數據庫。
修改復制設置。
刪除數據庫。
執行較低訪問權限允許的所有任務。
|
負責數據庫的兩個人。這樣,如果一個人不在,可以由另一個人管理數據庫。
|
|
設計者
|
修改所有的數據庫設計元素。
創建全文搜索索引。
執行較低訪問權限允許的所有任務。
|
數據庫設計者和/或負責未來設計更新的人員
|
|
“編輯者”存取級別
|
創建文檔。
編輯所有文檔(包括其他人創建的文檔)
讀取所有的文檔,除非表單中包含“讀者”域。如果編輯者未在“讀者”域中列出,則具有“編輯者”ACL 訪問權限的用戶將無法讀取或編輯文檔。
|
允許在數據庫中創建和編輯文檔的任何用戶
|
|
作者
|
創建文檔(如果用戶或服務器還具有“創建文檔”訪問權限權限)在為用戶或服務器指定“作者”訪問權限的同時,還必須指定“創建文檔”訪問權限權限。
編輯包含“作者”域并且在該“作者”域中指定該用戶為作者的文檔。
讀取所有的文檔,除非表單中包含“讀者”域。
|
需要向數據庫發布文檔的用戶
|
|
讀者
|
讀取包含“讀者”域并且在該“讀者”域中指定該用戶為讀者的文檔。
|
只需要閱讀數據庫中的文檔,而不需要創建和編輯文檔的用戶。
|
|
存放者
|
創建文檔,并且除“讀取公用文檔”及“寫入公用文檔”兩項權限以外,不再具有其他任何權限。這兩個權限是設計者可能選擇要授予的權限。
|
只需要發布文檔,而不需要閱讀或編輯自己或其他用戶的文檔的用戶。例如,為投票箱應用程序使用“存放者”訪問權限。
|
|
不能存取者
|
除“讀取公用文檔”和“寫入公用文檔”選項以外不具有其他任何權限。這兩個權限是設計者可能選擇要授予的權限。
|
已終止的用戶、不需要訪問數據庫的用戶或在特定基礎上能訪問數據庫的用戶。
注意 如果某些用戶是某個群組的成員,并且該群組的成員都可以訪問數據庫,而該用戶不應該具有數據庫訪問權限,則需要專門為這些用戶指定“不能存取者”訪問權限。
|
2、文檔權限
作者域:
“作者”域與數據庫存取控制列表中的“作者”存取級別協同工作。如果在存取控制列表中指定某個用戶具有“作者”存取級別,那么他可以閱讀數據庫中的文檔,但是不能進行編輯即使是他自己的文檔。將用戶列入“作者”域可以使他們能編輯自己所創建的文檔,從而擴展了他們的存取權限。
“作者”域中的項目不能超越數據庫的存取控制列表,而只能細化它。在數據庫中被指定為“不能存取者”的用戶,即使被列入“作者”域也絕不能編輯文檔。已經具有數據庫“編輯者”(或更高)存取級別的用戶不受“作者”域的影響,“作者”域只影響在數據庫中具有“作者”存取級別的用戶。
讀者域
如果希望限定對由某個表單所創建的特定文檔的存取,則在表單中添加一個“讀者”域。“讀者”域清楚地列出了可以閱讀由此表單所創建的文檔的用戶。例如:如果限制某個員工的人事檔案只有“人力資源”部門的成員、員工本人以及員工的經理可以存取,則可將這些人員列在“讀者”域中。對文檔不具有“讀者”權限的用戶則不能在視圖中查看文檔。如果表單中有存取列表,那么“讀者”域中的姓名將被添加到表單的存取列表中,否則,由“讀者”域控制對由此表單所創建的文檔的存取。
“讀者”域中的輸入項不能給用戶比數據庫的存取控制列表 (ACL) 中指定的權限更高的存取權限,而只能進一步限制存取權限。在數據庫中被指定為“不能存取者”的用戶,即使被列入“讀者”域也不能讀取該數據庫中的文檔。另一方面,在存取控制列表中具有“編輯者”(或更高)存取級別的用戶,若未列入“讀者”域中,也不能讀文檔。
3、 其他權限
(1) 服務器權限,這個我不是很懂,比如說服務器ID
(2) 角色。這個應該歸到數據庫的ACL權限中。
角色是對存取權限進行細化的重要手段。從某種意義上來說,角色可以理解為僅在本數據庫內部起作用的群組。假設某個文檔的讀者域中只包含一個角色的名稱,那么,不具有此角色的用戶,即使擁有管理者權限也無法看到此文檔。
使用角色對數據庫的設計者和管理者都很方便。對設計者來說,在開發階段完全不必考慮最終用戶的具體名稱,也不必把群組的名稱固定地寫在代碼中,只要定義并使用一系列角色即可。特別是對數據庫模板的設計者來說,這一點更為方便。對管理者來說,不必為某個應用去修改公用通訊錄,增加或刪除群組,而只要將用戶或群組的名稱加入ACL,賦予他們適當的存取級別和角色,就可以讓他們正常地使用該應用了。
角色主要只是準對當前數據庫有效(個人和群組是公用通訊錄中的,全局的,顯然角色是權限的針對具體數據庫的細化),我們可以定義一些個角色,比如[甲]、[乙],什么的,然后我們可以將ACL中的個人或群組指定為[甲][乙]角色,然后就可以在數據庫設計中使用了,當然我們也可以通過代理將用戶或群組加入到指定的角色中,然后你具體要如何限定角色的權限就由開發者自行指定了。比如說指定一個文檔的讀者域,將[甲]放入,那么具有[甲]角色的群組或個人就具有對該文檔的讀者權限了。
這樣很靈活,比如說我們指定了一個文檔1的讀者權限是[甲]角色,那么以后我要使用戶A對文檔1具有讀者權限只要將使A用戶具有[甲]角色即可了。
(3) 代理執行權限,誰有權限運行這個代理,比如指定用戶,或者是Web用戶運行
還有就是是否進行安全控制,還有什么個人代理和共享代理之分的。
(3) 然后貌似表單還有權限的,這個沒用過
(4) 自定義權限,這就是你的代碼進行控制了