在Linux文件系统中,用户对文件或目录有:读、写、执行三种权限,分别使用数字:4、2、1三个数字。三者之间可任意组合,如:用户拥有所有权限,则用数字7表示(4+2+1=7);用户拥有读、写权限则用数字6表示(4+2=6)。可以看出,基于数字加减的权限设置在使用中非常便利。其对权限的控制,本质上是基于位运算实现的。掌握位运算,不仅可以更加深入的理解Linux权限控制,更可以在自己项目中实现简单高效的、基于位运算的权限管理系统。
1. Linux基于位运算的权限控制
Linux权限控制是基于位运算实现的。
在Linux权限系统中,读、写、执行权限分别对应三个状态位:
1 | 读 写 执行 二进制 十进制 |
如上所示,“执行”权限使用二进制为001,即:十进制1。“写入”权限使用二进制为010,即:十进制2。“读取”权限使用二进制为100,即:十进制4。
2. 或运算实现权限的添加
增加权限使用或(|)运算实现。
如,为用户增加“读取”、“写入”两种权限
1 | 读 写 执行 二进制 十进制 |
“读写”两种权限,权限码为6(110),其由权限码2(010)和4(100)进行或(|)运算后实现,即:6 = 2|4,也可以由6=2+4计算得出。
3. 与运算实现权限的判断
在需要进行用户权限判断时,可以使用与(&)运算判断用户是否据有某项权限。
如,判断权限码为6用户是否有读取权限:
1 | 读 写 执行 二进制 十进制 |
权限码6(110)和4(100)的与运算结果为4,即:4=6&4。
判断权限码为6用户是否有执行权限:
1 | 读 写 执行 二进制 十进制 |
权限码6(110)和1(001)的与运算结果为0,即:0=6&1。
根据与运算的计算规律,当运算结果为所要判断权限本身值时,我们可以认为用户具有这个权限。而当运算结果为 0 时,我们可以认为用户不具有这个权限。
4. 非运算实现权限的减少
位运算同样可以实现用户权限的减少,减少用户权限使用非(^)运算。
如,将权限码为7用户,移除执行权限:
1 | 读 写 执行 二进制 十进制 |
权限码7(111)和1(001)的非运算结果为6,即:6=7^1,也可以由6=7-1计算得出。
5. 位移与权限码
从上面的介绍可以看出,在权限管理系统中每操作的权限码都是唯一的。而基于位运算的权限管理系统,要求每个权限码的二进制数形式,都只能有一位值为1。
所使用的权限码,可以将前一个权限码左位移一位得到下一个权限码,即:
- 权限码1(001),即:$2^0$
- 2=1<<1,即:将001左移1位为010,也即:由$2^0$变为$2^1$
- 4=2<<1,即:将010左移1位为100,也即:由$2^1$变为$2^2$
- 8=4<<1,即:将100左移1位为1000,也即:由$2^2$变为$2^3$
简单的说,权限码都是2的幂数,$2^0$、$2^1$、$2^2$、$2^3$、……$2^n$依次对应权限码1、2、4、8……n。
相关说明
基于位运算的权限管理,其运算运算对象是二进制数,优点是:运算速度快、效率高、节省存储空间、对权限控制非常灵活。所有语言都提供了位运算符,我们可以在不同语言实现的系统、甚至数据库中使用位运算实现对用户权限的管理。
位运算也有一些局限性,随着权限码增加,数据长度也相应的增长。这就要求权限码不能超过计算本身运算长度,在数据库中存储权限码时,权限码长度也不能的超过所使用数据类型。如:在32位系统中不能超过$2^{32}$,也就是权限数量不能多于32个。而mySQL数据库的BIGINT,其存储空间为8Byte,使用BIGINT存储存储码时,权限数不能多于64个(8*8-1)。