文件访问规则

概述

管理员可以对文件进行安全访问控制，通过为文件设置访问规则，实现控制人员的文件访问行为。

访问规则

访问规则是指以资源（文件/文件夹/空间）为视角的策略，表达资源可以被主体（人员/组织/单位等）执行的访问行为，可以在资源上进行查看和编辑。

访问规则和访问权限仅是主语视角不同，访问权限的主语是主体，而访问规则的主语是资源，但产生的作用是一致的，在系统内部实际都会被转换为以主体为主语的策略。

例如，管理员指定资源word.zip的访问规则是：word.zip 可以被小明执行下载行为，则在系统内部转换后对应的策略是：允许小明对word.zip 执行下载行为，这时的主语为小明，鉴权机制以主体作为主语计算最终权限。

访问规则按作用类型分为：允许规则和拒绝规则。允许权限用于表达允许资源可以被谁执行什么操作行为，拒绝权限用于表达拒绝资源可以被谁执行什么操作行为。拒绝规则优先级大于允许规则，即当资源同时拥有允许和拒绝规则时，鉴权结果为以拒绝规则为准。

继承访问规则

主体的所有权限由私有规则和继承规则两部分组成，私有规则是为资源设置的规则，继承规则是根据文件路径逐层递推累加规则后得出的所有规则，私有规则优先级大于继承规则。

例如，word.zip 的所有访问规则，继承自空间、应用软件、办公软件 三个文件夹的规则 ：

管理访问规则

管理员可以对文件空间、文件夹、文件的访问规则进行管理，实现控制谁可以对资源进行访问。为了便于解释，以下将 文件空间、文件夹、文件统称为资源。

为资源添加访问规则时，需要选择作用、人员/组织、访问行为，文件的访问行为包括：显示列表、预览内容、下载、编辑、新建、移动、重命名、删除、分享等，为了方便还可以将多个访问行为定义为一个行为组，例如可以将 显示列表、预览内容、下载三个行为定义为只读行为组，这样后续设置其他资源的只读访问规则时就比较便捷了。

添加访问规则后可以在规则列表中进行编辑和删除操作，批量操作可以提高工作效率，也被很好的支持。