在Linux文件系统中,用户对文件或目录有:读
、写
、执行
三种权限,分别使用数字:4
、2
、1
三个数字。三者之间可任意组合,如:用户拥有所有权限,则用数字7表示(4+2+1=7);用户拥有读、写权限则用数字6表示(4+2=6)。可以看出,基于数字加减的权限设置在使用中非常便利。其对权限的控制,本质上是基于位运算实现的。掌握位运算,不仅可以更加深入的理解Linux权限控制,更可以在自己项目中实现简单高效的、基于位运算的权限管理系统。
1. Linux基于位运算的权限控制
Linux权限控制是基于位运算实现的。
在Linux权限系统中,读
、写
、执行
权限分别对应三个状态位:
读 写 执行 二进制 十进制 0 0 1 ==> 001 ==> 1 0 1 0 ==> 010 ==> 2 1 0 0 ==> 100 ==> 4 0 1 1 ==> 011 ==> 3 1 0 1 ==> 101 ==> 5 1 1 0 ==> 110 ==> 6 1 1 1 ==> 111 ==> 7
如上所示,“执行”权限使用二进制为001
,即:十进制1
。“写入”权限使用二进制为010
,即:十进制2
。“读取”权限使用二进制为100
,即:十进制4
。
2. 或运算
实现权限的添加
增加权限使用或
(|
)运算实现。
如,为用户增加“读取”、“写入”两种权限
读 写 执行 二进制 十进制 0 1 0 ==> 010 ==> 2 1 0 0 ==> 100 ==> 4 1 1 0 ==> 110 ==> 6 // 或(|)运算结果
“读写”两种权限,权限码为6
(110
),其由权限码2
(010
)和4
(100
)进行或
(|
)运算后实现,即:6 = 2|4
,也可以由6=2+4
计算得出。
3. 与运算
实现权限的判断
在需要进行用户权限判断时,可以使用与
(&
)运算判断用户是否据有某项权限。
如,判断权限码为6
用户是否有读取权限:
读 写 执行 二进制 十进制 1 1 0 ==> 110 ==> 6 1 0 0 ==> 100 ==> 4 1 0 0 ==> 100 ==> 4 // 与(&)运算结果
权限码6
(110
)和4
(100
)的与运算结果为4
,即:4=6&4
。
判断权限码为6
用户是否有执行权限:
读 写 执行 二进制 十进制 1 1 0 ==> 110 ==> 6 0 0 1 ==> 001 ==> 1 0 0 0 ==> 000 ==> 0 // 与(&)运算结果
权限码6
(110
)和1
(001
)的与运算结果为0
,即:0=6&1
。
根据与运算
的计算规律,当运算结果为所要判断权限本身值时,我们可以认为用户具有这个权限。而当运算结果为 0 时,我们可以认为用户不具有这个权限。
4. 非运算
实现权限的减少
位运算同样可以实现用户权限的减少,减少用户权限使用非
(^
)运算。
如,将权限码为7
用户,移除执行权限:
读 写 执行 二进制 十进制 1 1 1 ==> 111 ==> 7 0 0 1 ==> 001 ==> 1 1 1 0 ==> 110 ==> 6 // 非(^)运算结果
权限码7
(111
)和1
(001
)的非运算结果为6
,即:6=7^1
,也可以由6=7-1
计算得出。
5. 位移
与权限码
从上面的介绍可以看出,在权限管理系统中每操作的权限码
都是唯一的。而基于位运算的权限管理系统,要求每个权限码
的二进制数形式,都只能有一位值为1
。
所使用的权限码
,可以将前一个权限码
左位移
一位得到下一个权限码,即:
- 权限码
1
(001
),即:20 2=1<<1
,即:将001
左移1位为010
,也即:由20变为214=2<<1
,即:将010
左移1位为100
,也即:由21变为228=4<<1
,即:将100
左移1位为1000
,也即:由22变为23
简单的说,权限码
都是2的幂数
,20、21、22、23、……2n
依次对应权限码1、2、4、8……n
。
相关说明
基于位运算的权限管理
,其运算运算对象是二进制数,优点是:运算速度快、效率高、节省存储空间、对权限控制非常灵活。所有语言都提供了位运算符
,我们可以在不同语言实现的系统、甚至数据库中使用位运算实现对用户权限的管理。
位运算也有一些局限性,随着权限码增加,数据长度也相应的增长。这就要求权限码不能超过计算本身运算长度,在数据库中存储权限码时,权限码长度也不能的超过所使用数据类型。如:在32位系统中不能超过232
,也就是权限数量不能多于32个。而mySQL数据库的BIGINT
,其存储空间为8Byte
,使用BIGINT
存储存储码时,权限数不能多于64个(8*8-1)。