Trong diễn đàn việc phân quyền dựa vào nhóm ngƣời dùng trong hệ thống. Ngƣời dùng trong hệ thống đƣợc chia thành các nhóm (group) khác nhau. Mỗi group sẽ có chức năng và quyền hạn nhất định với hệ thống, tùy thuộc theo sự thiết lập của ngƣời quản trị mà ngƣời dùng đóng vai trò khác nhau đƣợc phép thực hiện trên các tài nguyên khác nhau.
a) Các Group (vai trò) trong diễn đàn
Trong một diễn đàn việc phân quyền chia ra thành các nhóm (group) sau : Administrator, SMOD (Supper Moderators), MOD (Moderators), Mem (Members), Guest.
63
b) Các tài nguyên cần đƣợc phân quyền
Trong diễn đàn các tài nguyên có thể là các chức năng của hệ thống nhƣ: quản lý Avatar, xem forum, tìm kiếm trên forum, quản lý các chủ đề, gửi file đính kèm, tạo bình chọn, gửi nhận tin nhắn trong diễn đàn, quản lý các sự kiện, upload ảnh, chữ ký…
c) Các hành động ứng với mỗi tài nguyên
- Các hành động có thể thực hiện tƣơng ứng với các tài nguyên là các bảng trong cơ sở dữ liệu là thêm (insert), sửa (update), xóa (delete), lấy về xem (select); với các chức năng trong hệ thống có thể có thể thực hiện (execute).
- Ứng với mỗi tài nguyên sẽ có các quyền đặc trƣng,và thông thƣờng với mỗi quyền sẽ có hai trạng thái on hoặc off.
- Quyền quản lý avatar : Xóa avatar của mình, xóa avatar của ngƣời khác,.. - Quyền quản lý diễn đàn: Xem diễn đàn, xem nội dung chủ đề, có thể download file đính kèm,…
- Quyền tìm kiếm trong diễn đàn: Cho phép tìm kiếm trong diễn đàn, các lựa chọn tìm kiếm khác (ví dụ tìm kiếm fulltext)
- Quản lý chủ đề: Cho phép tạo mới chủ đề, trả lời trên chủ đề của mình, trả lời trên chủ đề của ngƣời khác, xóa chủ đề do mình tạo ra, xóa chủ đề do ngƣời khác tạo ra, di chuyển chủ đề, xếp hạng chủ đề….
- Upload file đính kèm: Cho phép gửi file đính kèm trong bài viết, dung lƣợng tối đa mỗi file đính kèm.
- Quyền xem thông tin truy cập diễn đàn: Xem các thành viên online, địa chỉ IP của mỗi thành viên, xem thông tin cá nhân của thành viên..
- Quyền sao lƣu, phục hồi dữ liệu: Cho phép sao lƣu, phục hồi dữ liệu, kiểu sao lƣu(xuất ra file sql, xls, txt..)
d) Mô tả quyền hạn đối với mỗi nhóm ngƣời dùng
- Đối với mỗi nhóm ngƣời dùng sẽ đƣợc thao tác trên một số tài nguyên của hệ thống.
64
- Đối với Administrator sẽ có toàn quyền đối với tất cả các tài nguyên của hệ thống, và có quyền sao lƣu và phục hồi dữ liệu.
- Đối với SMOD thông thƣờng sẽ chỉ đƣợc phân quyền quản lý các bài viết trên toàn forum, quản lý các member… Nhƣng sẽ không có quyền tác động lên cơ sở dữ liệu.
- MOD là nhóm đƣợc cấp quyền quản lý trên một hay nhiều subforum. Thành viên thuộc MOD sẽ có quyền quản lý các bài viết trên các subforum đó, các thao tác nhƣ tạo mới, xóa, sửa, di chuyển bài viết…
- Member là nhóm các thành viên cơ bản, có quyền tạo mới các bài viết trên forum, quyền gửi nhận tin nhắn, quyền đọc các bài viết của các thành viên khác.
- Guest, đây là nhóm các khách vãng lai, không đăng ký là thành viên của diễn đàn. Các đối tƣợng này thông thƣờng chỉ đƣợc phân quyền để đọc các bài viết trên diễn đàn, không có quyền gửi bài viết, hoặc cũng có thể không đƣợc phép truy cập diễn đàn, tùy theo sự thiết lập của quản trị.
Với yêu cầu bảo mật liên quan đến diễn đàn chúng ta thấy ngƣời sử dụng trong diễn đàn đƣợc phân vào các nhóm ngƣời dùng khác nhau, và tùy thuộc vào từng nhóm ngƣời dùng mà đặc quyền của họ sẽ khác nhau trên các nguồn tài nguyên trong hệ thống, với hệ thống này chúng ta có thể sử dụng chính sách bảo mật theo mô hình RBAC. Các yêu cầu bảo mật của hệ thống sẽ đƣợc mô hình hóa nhƣ mục dƣới đây.
65