前言

虚拟资源管理平台是在ovirt4.0的基础上开发的，从原有的一个admin用户扩展成三个管理员用户和普通用户，下面简单分析一下其实现权限管理的原理。

数据库表

主要包括三张表：roles（角色表）、roles_group(角色与操作组关系表)、permissions（权限表）
角色RoleType有五种：SystemAdmin、SecurityAdmin、AuditAdmin、UserRole、QuotaConsumer

• roles

• roles_group角色与操作组关系表（操作组id就是actionGroup中的id，也就是动作组的id,）

• permissions权限信息表(也相当于角色和用户的关联表，表示某个用户拥有对某个操作对象的权限，操作对香指存储，虚拟机，模板等对象)

定义操作：

通过VdcActionType进行操作自定义，通过枚举设置操作与操作组的从属关系，而ActionGroup是定义操作组（或者说动作组）
比如瘦客thinClient作为一个操作组，则其包括好多种操作，比如登录VdcLogin和退出VdcLogout等等

// VdcLogin
    VdcLogin(5003, ActionGroup.THINCLIENT, QuotaDependency.NONE),
    VdcLogout(5004, ActionGroup.THINCLIENT, QuotaDependency.NONE),

• 通过00500_insert_roles.sql初始化角色权限

• 权限验证事务：系统中所有操作Command都提供getPermissionCheckSubjects方法，用来定义执行操作的权限列表

permissionList权限列表中，包含权限对象PermissionSubject,权限对象的属性如下：

• 在系统的各种command的执行时，会检测权限，每个操作Command执行，必须定义操作权限列表，否则会直接提示没有操作权限：

• 最终通过存储过程进行权限查询get_entity_permissions

满足权限的条件判断（1,2必须满足，3,4,5满足其中一个）

1. 系统登录用户系统登录用户(user_id) 所属的 角色(role)，必须与 操作组(action_group_id) 在 roles_groups 表中有对应关系

role_id IN( SELECT role_id FROM roles_groups WHERE action_group_id = v_action_group_id)
2.必须拥有需要删除的虚拟机的权限（ 或者 所属群集、数据中心的权限。有待探讨）
AND (object_id IN(SELECT id FROM fn_get_entity_parents(v_object_id,v_object_type_id)))
3.功能分配了everyone权限
v_everyone_object_id := getGlobalIds('everyone');
ad_element_id = v_everyone_object_id
4.功能分配了该登录用户的权限
ad_element_id = v_user_id
5.功能分配了该登录用户所属用户组的权限
ad_element_id IN(SELECT * FROM getUserAndGroupsById(v_user_id)

权限的增加和删除：

通过 AddPermissionCommand操作添加权限

通过RemovePermissionCommand的paramPermission操作删除权限，根据权限ID删除
getDbFacade().getPermissionDao().remove(perms.getId());