权限管理最佳实践：四，数据级查询权限管理

使用中间件控制权限管理的，还有IBM Tivoli Access Manager for e-business 和Oracle Entitlements Server。他们在巨型跨国企业有应用案例。

我们开发Ralasafe，其中有个目的就是为了容易使用，最好是只有少量IT知识的人就能使用。
Ralasafe的图形化界面，目前反馈还是很友好的、很容易使用的。不仅没有新概念，而且每步都有在线测试。确保无误。

强烈建议你尝试做1～3个功能。

建议在控制层接入Ralasafe，是因为我们平常的系统，也是在控制层接入数据访问层或者业务service层的。所以，我觉得对于查询，没有必要在service里面再次封装。DAO层一般无权限逻辑，所以不用关系。


你说的是否侵入太多，确实不少人有这么反映。很多人是这样的观点，不知道你是否一样。 很多人认为我们返回WHERE条件就可以了，而不是应该返回数据结果集。由业务service或者dao来根据where条件，查询数据。
我们的思路是：
1，大家的共同目标是：使用最有效率（或者说开发最有效率、或者性价比）查询出数据。
2，要能够控制列级，比如张三请求查询返回数据列有10列，李四请求查询却返回数据列5列。
所以，Ralasafe就不愿意分开了，而且使用JDBC访问，无废话高效查询，返回数据级是开发人员指定的映射类。


Ralasafe模型与RBAC模型的关系是：

还是新手啊，没怎么看懂。不过我以前做过简单的权限，也不是很难理解啊

理想的权限方案：粗粒度的权限框架 + 充分的权限定制空间 + 若干具有通用性的已定制策略

这个方案基本做到了，不错。

有点是让我莫名的伤感。

文中举例非常常见，不算复杂，但不代表该方案就只能满足该类需求。其实这是一个好的解决方案，应用到其他需求也是非常好的。

只是，怎样设计权限策略，怎样匹配，需要思考一下。

连这种公司的产品你都信？

我现在就在用你说的这个IBM的方案，从头到尾就是垃圾。

我相信他们的产品。而且他们产品是经受过市场考验的，并不是吹的。

细粒度控制,有好的例子参考么?

由于不返回WHERE条件，而是JDBC直接查询，导致无法和HIBERATE，IBATIS等集成。这样也导致很多应用不能与ralasafe集成了。