如何通过 JAVA Security API 来定性 IBM FileNet P8 内容查询和存储的安全

核心提示： 在 FileNet P8 中，Securable 对象的安全是通过 ACL 和 ACE 来控制的，如何通过 JAVA Security API 来定性 IBM FileNet P8 内容查询和存储的安全(4)，一个对象的访问权限决定了哪些用户可以查看对象，和进行什么操作，ACE security

在 FileNet P8 中，Securable 对象的安全是通过 ACL 和 ACE 来控制的。一个对象的访问权限决定了哪些用户可以查看对象，和进行什么操作。例如，要查看一个 folder 里面的内容，用户需要至少对 folder 的 View properties permission。要给 folder 添加 document，那么这个用户要具有添加的权限。

每个 FileNet P8 ACE 是“允许”或者“拒绝”的一个权限集合。例如，用户 A 对某个 document 具有读权限，而用户 B 则对这个 document 具有删除的权限。

每个 ACE 有个目录，这些目录包含了对某个特定对象的所有权限，每个权限都设置为允许或者拒绝，若不设置，则默认所有的权限都被拒绝。

每一个 Securable object 都有一个 ACL 来决定那个用户被授予相关属性内容的允许权限或者拒绝权限。每一个授权的访问权限集合以 ACE 的方式存储。简单地说，就是每个 ACL 是许多 ACE 的集合。如下图所示：上面是 ACL, 其中每个条目是一个 ACE, 而下面是每个 ACE 包含的具体权限设置。

图 2. Object 中的 ACE 和 ACE 示例

每个 ACE 除了包含访问权限是允许还是拒绝，也包含了每个权限的源，权限的源对于权限的后续继承成为有直接的影响，甚至决定了它是否可以被其他对象继承。

有三种 ACE Source:

Default: 对象的权限由它的 class 的 Default Instance Security ACL 来决定，就像父类的权限决定了子类的权限。

Direct: 对象的权限是直接添加上去的。

Template: 对象的权限由 security policy 来决定。

ACE security levels 是一个 Security Level 是预定义好的权限的集合。例如，document 的 Full Control level 包含了对这个对象所有可能存在的权限。