基于角色的访问控制

SuperMap iServer 服务管理器中提供安全模块，通过基于用户身份识别的认证和授权，实现对服务和服务管理器的访问控制。无论是 SuperMap iServer 服务的管理者、服务发布者还是服务的访问使用者都可以通过安全模块进行管理，只有授权的角色所对应的用户才能访问该服务的资源。而服务管理器则不受安全启用/禁用的影响，在任何时候访问服务管理器都必须先登录。

这种基于角色的访问控制中包括用户、角色和授权的概念：

用户——是访问服务的个人或程序，当用户创建（或注册）后就会存储在用户列表里。

角色——是一组权限的集合。一个角色可以关联多个用户，一个用户可以关联多个角色，用户与角色的关联是多对多的。

权限——是角色对服务或服务管理器的访问能力。权限是与角色对应的，管理员可以将单个或多个服务的某种权限授予角色，而用户只能通过关联已授权的角色来获取相应的权限。

基于角色的访问控制可以限制未授权用户对服务的访问，但同时还需要对用户进行认证和授权才能使具有访问权限的用户顺利访问服务。

认证——是验证用户身份的过程，SuperMap iServer 提供了基于 HTTP Form 的认证和基于 Token 的认证。

授权——是验证经过认证的用户是否具有所请求服务的访问权限的过程。

具体来说，基于角色的访问控制包括以下几个方面：

• 用户的管理
• 用户组的管理
• 角色的管理
• 基于 HTTP Form 的认证
• 基于 Token 的认证
• 角色授权

默认情况下，安全管理模块会使用 SuperMap iServer 内置存储的用户和角色实现安全性保护。用户和角色信息采用文件的形式存储，且只有 SuperMap iServer 管理员才能够访问和管理。使用内置存储的用户和角色时，默认会使用 HTTP Form 和 Token（令牌）机制对用户进行认证。