如何通过 JAVA Security API 来定性 IBM FileNet P8 内容查询和存储的安全

核心提示： Order of Evaluation( 权限评估顺序 )当某个对象上有多个 ACE 时，不同的 ACE 可能对同一个用户有不同权限定义，如何通过 JAVA Security API 来定性 IBM FileNet P8 内容查询和存储的安全(5)，这时，如果权限定义发生冲突，当一个 marki

Order of Evaluation( 权限评估顺序 )

当某个对象上有多个 ACE 时，不同的 ACE 可能对同一个用户有不同权限定义，这时，如果权限定义发生冲突，应该以下列顺序为准：

　Direct/Default　Deny>　Direct/Default　Allow>　Template　Deny>　Template　Allow>　Inherited　Deny>　Inherited　Allow　
|-------10--------20--------30--------40--------50--------60--------70--------80--------9|　
|--------　XML　error:　The　previous　line　is　longer　than　the　max　of　90　characters　---------|　

例如，当一个对象的 ACL 中，对于某个用户，同时存在 Default Deny 和 Direct Allow 的 ACE 时，由于前者的优先级高，所以以前者为主。

Security Policies

安全策略可以视为一些安全模板 (security templates) 的集合 , 每个安全策略包含了一组预定义的权限，或者 ACE，这些权限或者 ACE 可以应用到 document，custom object，或者 folder 等。

Security policies 可以使系统管理员对大量的 document 进行访问控制，从而避免直接编辑每个 document 的 ACL。

Security policies 与 versioning states 联合起来使系统管理员可以通过设置系统，来实现当 versioning states 改变时，document 的 ACL 自动改变。例如，管理员可以通过设置，当文档 release 时，自动赋予 document 的一些权限。

在实际应用中，可以给要产生实例的 class 添加相关的 Security policies，从而使改 class 产生的对象都具有 Security policies 定义的一些权限设置。

Markings 和 Marking Set

Markings 允许基于特定的属性值来控制对 object 的访问权限。当一个 marking 应用到一个对象时，产生的访问权限是由该对象原来的访问权限和 marking 的 Constraint Mask 设置的值来联合决定的。联合的结果是产生了有效的 security mask。