2010-12-27

Plone中管理用户和权限

Plone适合于企业使用的一大特点就是拥有一组强大的安全控制模块。它定义了各种安全等级,每种安全等级都提供了众多安全选项,使得Plone的安全控制粒度很细,能够对每个对象,针对不同的用户,角色或组,提供不同的访问权限。 Plone的安全系统太强大了,以至于调试和管理都很困难。但是,设置网站最重要的,就是要设置好安全选项。 作为Plone管理员,需要做的最常见的任务就是管理网站成员,安全漏洞也是可能犯的最大错误。因此,Plone的安全覆盖了众多方面:
  • 在Plone控制面板中管理用户和组
  • 通过Zope管理工作流
  • 创建自定义成员配置
本文先讲第一方面,关于用户术语和用户要用到的关键接口,还有如何通过Plone来添加编辑用户或组。

用户,角色和组

访问Plone网站的每个人都是一个用户,用户或许已被Plone认证,也或者没有。未被认证的用户称作匿名用户。已通过认证的用户以特定的用户帐号登录。 匿名用户权限最低,受到最严格的限制。一旦登录,用户就获得对应帐号给他们的角色。一开始是没有用户的,但在安装Plone时会要求定义一个用户,这个用户具有所有的管理权限,通过它来管理Plone。 Plone网站有一系列角色,是用户的逻辑分类。通过角色来分配权限,而不是用户,这样会更方便。每个用户可以扮演0到多个角色。 每个角色可以被指派一个或多个权限来赋予或取消完成特定的操作。 Plone有5个预定义角色,分为两组:可分配角色和不可分配角色。可分配角色是管理员可以授权给用户的角色。不可分配角色是系统自动分配的角色。 不可分配角色有:
  • 匿名 未登录用户
  • 认证 已登录用户
可分配角色:
  • 拥有者(Owner) 赋予给创建了对象的用户,只在对象和创建者间有效。信息存在于对象中。这个角色一般不需专门设定。由Plone自动完成。
  • 成员(Member) 每一个注册网站的用户都属于这个组。
  • 审核者(Reviewer) 权限介于成员和管理员之间。审核者可以审阅修改成员提交的内容。审核者不能修改网站配置和用户帐号。
  • 管理员(Manager) 管理员可以做任何事。所以必须托付这个角色给可信任者。管理员可以修改删除内容,删除用户,更改网站配置,甚至删除网站!
和用户,角色不同的是组。角色对应着扮演该角色的用户具有的权限集合,但是组只是用户的集合。可以赋予特定组特定的角色。例如,市场部是一个组,工程部是另一个组。每个用户可以隶属于0到多个组,一个组也可以是另一个组的一部分。组是可选的,不一定非要用,但Plone团队发现它确实很好用。网站管理员可以以任何方式使用组,比如把一个部分划分一组或把一类用户划分一组。默认有三个组,管理员,审核者,已认证组。 角色通常和组绑定。用户属于组时,扮演该角色。所以常用角色和组来管理权限。

通过Web界面管理用户

Plone界面右上角是用户设置区。这里不同角色的用户所拥有的选项是不一样的。 成员:我的文件夹,工作台,选项,登出。 审核员:同上。只不过在工作台里可以看到审批清单。 管理员:除了上述,多了网站设置。 网站设置就进入了Plone的控制面板。可以修改用户和组。 我的文件夹在 User/用户ID下,在用户首次登录时创建。默认状态是保密(private)。自己对自己文件夹具有admin权限,可发布。 通过Plone控制面板界面可以很容易地增加新用户,修改用户信息,改变用户的角色等等。 在Plone控制面板里,点击“用户和组”,进入用户管理界面。可以看到有4个标签页:用户,组,设置,成员注册。注意老版本里没有“成员注册”标签。 在“注册”标签页下点击“注册新用户”按钮,会跳出一个带阴影效果的注册框。注册时,如果网站的smpt服务器也配置好的话,可以通过发送一封带设置密码链接的确认邮件来增强安全性。默认的角色是“读者”,可以在注册时最下面选择不同的组来继承不同的角色。 “成员注册”标签用来设置注册时需要填写哪些信息,也就是用户注册字段。下面有两个框,左边框里的不会显示在表单里,右边框里的会。通过左右箭头移动字段,也可以通过上下箭头改变字段在表单中的顺序。

修改用户信息

注册完成以后,在用户管理列表里会出现对应的用户信息。如果用户太多的话,可以在上面的查找用户搜索栏里输入关键词进行查找。 用户管理列表里有四列,分别是“用户名”,“角色”,“重置密码”和“删除用户”。和旧版本相比,这里删除了邮件列。 要增删用户的角色,可以直接勾选或去勾选对应的角色即可。当然,别忘了点击“保存变更”。这里指派的角色对用户来说是在整个网站有效的,而且是立刻生效! 有一些角色不能勾选,而是一个小圆Plone图标,这意味着这个角色是从所属组继承而来的角色。 重置密码列很有用,如果出于安全考虑需要修改成员的密码的话。勾选重置密码,点击“保存变更”,这时对应的用户就不能使用原先的密码登录了,同时系统会给该用户发送一封带有重置密码链接的邮件。 点击用户名就链接到了对应的用户信息管理界面。 这个面板和用户在右上角设置区点击“选项”后看到的界面很相似,网站管理员,具有最高的权限,可以修改每个用户的个人信息。 而且,和用户“选项”界面不同的是,这里多了一个“组员身份”标签。这个涉及到接下来要讲的“组”。
blog comments powered by Disqus