關於系統許可權的設計-位操作

dijia478發表於2021-11-20

本文討論是許可權設計的其中一種方向,有它自己的優缺點,不一定適用於所有系統。

一、Linux檔案許可權

大家都知道,Linux上有三種檔案許可權:

  • r:表示讀取,對應的數字為 4;
  • w:表示寫入,對應的數字為 2;
  • x:表示執行,對應的數字為 1;

當然還有一種是特殊的是:

  • -:表示無許可權,對應的數字為0;

通過這四個數字以及他們的組合,就可以表示任意一種許可權:

1+2=3:有執行、寫入許可權,沒有讀取許可權。

1+4=5:有執行、讀取許可權,沒有寫入許可權。

2+4=6:有寫入、讀取許可權,沒有執行許可權。

1+2+4=7:有執行、寫入、讀取許可權。

不知道大家有沒有想過,為什麼許可權的標識要是0/1/2/4這幾個數字呢?為什麼不是0/1/2/3?為什麼不是6/7/8/9?為什麼0/1/2/4組合就可以表示所有許可權呢?

有些人會解釋說,如果用0/1/2/3,那3表示的是3本身呢?還是1+2呢?意義不明確呀。用其他的數字又太大,不方便計算,沒有0124簡單。其實這些都不是真正的原因,Linux檔案許可權設計之所以要用0124,是因為他們其實是用二進位制表示許可權的。

二、用二進位制位元位表示許可權

二進位制是什麼想必不用我多說,我們都知道二進位制表示的數字,只有0和1兩種數。那麼我們就想,如果我用0表示沒有許可權,用1表示有許可權,這樣豈不是很簡單?

我繼續用Linux檔案許可權舉例。

用第一個位元位表示是否有執行許可權,第二個位元位表示是否有寫入許可權,第三個位元位表示是否有讀取許可權。每個位元位的0表示沒有許可權,1表示有許可權。(後文所說的第幾位,都是指從右向左數)

那麼我們試一試,如何表示只有寫入許可權,沒有讀取和執行許可權呢?按照上面的規則,應該是0010,將這個二進位制數字轉成十進位制數字,剛好是2。以此類推,就有了0/1/2/4這四個數字,分別表示,無許可權(0000)、執行(0001)、寫入(0010)、讀取(0100)了。

再驗證一下,如何表示有執行、讀取許可權,沒有寫入許可權呢?應該是0101,將這個二進位制數字轉成十進位制數字,剛好是5,符合我們上面說的。

所以,我們可以通過一個二進位制數字,表示大量的許可權及其自由組合,而且非常的節省儲存空間,1個位元組,我們就可以儲存8種許可權。在Java語言中的int型別有4個位元組,一個int值,就可以儲存32種許可權。那麼知道了這個知識點,我們如何將它設計進我們的許可權系統呢?

三、許可權的增刪查

一個許可權系統,必然會有三大基礎操作:新增一個許可權,刪除一個許可權,以及校驗一個許可權。

那我們如何對一個二進位制數字表示的許可權,進行增刪查呢?這裡就要利用位操作了:

  • | 可以用來新增許可權
  • ^ 可以用來刪除許可權(已有許可權時)
  • & 可以用來校驗許可權

用程式碼來解釋一下

    /**
     * 新增許可權
     *
     * @param currentPermission 原許可權
     * @param permissions       需要新增的許可權集合
     * @return 新增完許可權後的十進位制數字
     */
    public static int addPermissions(int currentPermission, int... permissions) {
        for (int permission : permissions) {
            currentPermission |= permission;
        }
        return currentPermission;
    }

    /**
     * 從已有許可權裡,刪除許可權
     *
     * @param currentPermission 原已有許可權
     * @param permissions       需要刪除的許可權集合
     * @return 刪除完許可權後的十進位制數字
     */
    public static int removePermissions(int currentPermission, int... permissions) {
        for (int permission : permissions) {
            if (!hasPermission(currentPermission, permission)) {
                continue;
            }
            currentPermission ^= permission;
        }
        return currentPermission;
    }

    /**
     * 校驗許可權
     *
     * @param currentPermission 原許可權
     * @param permission        要校驗的許可權
     * @return 是否含有許可權
     */
    public static boolean hasPermission(int currentPermission, int permission) {
        return (currentPermission & permission) == permission;
    }

為什麼上述三個操作可以做到新增、刪除、查詢許可權呢?我們需要來複習一下位運算。

位運算
或(|):兩個都為0,結果才為0,否則為1 0 | 0 = 0 0 | 1 = 1 1 | 0 = 1 1 | 1 = 1
異或(^):兩個相同為0,不相同為1 0 ^ 0 = 0 0 ^ 1 = 1 1 ^ 0 = 1 1 ^ 1 = 0
與(&):兩個都為1,結果才為1,否則為0 0 & 0 = 0 0 & 1 = 0 1 & 0 = 0 1 & 1 = 1

根據位運算的特點,我們可以發現:

  • 給執行許可權裡,新增寫入許可權,本質應該是將0001的第二個0,變成1,那麼只要“或”一個寫入許可權0010就好了。(或一個數,就代表將這個數表示的許可權,新增到原來的數裡,無論原來的數字有沒有許可權都會加進去):

  • 在執行、寫入許可權裡,刪除寫入許可權,本質應該是將0011的第二個1,變成0,那麼只要“異或”一個寫入許可權0010就好了。(異或一個數,就代表將這個數表示的許可權,從原來的數字裡刪除):

  • 在執行、寫入許可權裡,判斷是否有寫入許可權,其本質應該是判斷0011的第二位,是否是1,那麼只要“與”一個寫入許可權0010,再與寫入許可權0010自身比較一下就好了。(與一個數,如果還等於這個數,就代表原來的數有這個數表示的許可權):

這裡特別說明一下“異或”刪除許可權的操作,只有原來的數字裡已經有許可權了,才可以刪除。從異或運算的規則中可以發現,異或運算其實是無則增,有則減的操作。那麼如果我想,無論原來的數字有沒有許可權,都刪除許可權(有或無,都減),該怎麼操作呢?

有兩個方法

第一個方法就是我上面程式碼裡的第二個方法所示,異或操作前,先判斷下有無許可權,有許可權時再刪除,無許可權自然也不需要刪除。

第二個方法是先“取反”運算,再“與”運算

    /**
     * 刪除許可權
     *
     * @param currentPermission 原許可權
     * @param permissions       需要刪除的許可權集合
     * @return 刪除完許可權後的十進位制數字
     */
    public static int removePermissions2(int currentPermission, int... permissions) {
        for (int permission : permissions) {
            currentPermission &= ~permission;
        }
        return currentPermission;
    }

還是以在執行、寫入許可權裡,刪除寫入許可權為例,先對要刪除的寫入許可權0010“取反”

再將執行、寫入許可權0011“與”一個上面取反的結果

可以發現,結果是一樣的。但這樣的好處就是,不用判斷原來的數字裡,是否含有許可權了。

四、優缺點

優點:既然是二進位制儲存,位運算操作,肯定有節省空間,效率極高的優點,當然同時也是逼格滿滿。

缺點:許可權種類有限,如果用int儲存,最多隻能有32種許可權型別,無法應用於複雜的許可權場景,例如牽扯到許可權,角色,使用者。

如何選擇,根據自己實際需要判斷即可。

五、一個許可權工具類demo

/**
 * 許可權工具類demo
 *
 * @author dijia478
 * @date 2021-11-20 16:52:10
 */
public class PermissionUtils {

    /**
     * 所有許可權都沒有
     */
    public static final int NOT_ALL = 0;

    /**
     * 所有許可權都有
     */
    public static final int HAVE_ALL = -1;

    /**
     * 執行許可權
     */
    public static final int EXECUTE = 1 << 0;

    /**
     * 寫入許可權
     */
    public static final int WRITE = 1 << 1;

    /**
     * 讀取許可權
     */
    public static final int READ = 1 << 2;

    /**
     * 修改許可權
     */
    public static final int UPDATE = 1 << 3;

    /**
     * 刪除許可權
     */
    public static final int DELETE = 1 << 4;

    /**
     * 新增許可權
     *
     * @param currentPermission 原許可權
     * @param permissions       需要新增的許可權集合
     * @return 新增完許可權後的十進位制數字
     */
    public static int addPermissions(int currentPermission, int... permissions) {
        for (int permission : permissions) {
            currentPermission |= permission;
        }
        return currentPermission;
    }

    /**
     * 從已有許可權裡,刪除許可權
     *
     * @param currentPermission 原已有許可權
     * @param permissions       需要刪除的許可權集合
     * @return 刪除完許可權後的十進位制數字
     */
    public static int removePermissions(int currentPermission, int... permissions) {
        for (int permission : permissions) {
            if (!hasPermission(currentPermission, permission)) {
                continue;
            }
            currentPermission ^= permission;
        }
        return currentPermission;
    }

    /**
     * 刪除許可權
     *
     * @param currentPermission 原許可權
     * @param permissions       需要刪除的許可權集合
     * @return 刪除完許可權後的十進位制數字
     */
    public static int removePermissions2(int currentPermission, int... permissions) {
        for (int permission : permissions) {
            currentPermission &= ~permission;
        }
        return currentPermission;
    }

    /**
     * 校驗許可權
     *
     * @param currentPermission 原許可權
     * @param permission        要校驗的許可權
     * @return 是否含有許可權
     */
    public static boolean hasPermission(int currentPermission, int permission) {
        return (currentPermission & permission) == permission;
    }

    /**
     * 獲取所有許可權
     *
     * @return 擁有所有許可權的十進位制數字,其實就是-1
     */
    public static int getAllPermission() {
        return HAVE_ALL;
    }

}

相關文章