SVN权限详解

【转贴】Subversion权限详解

1背景假设

厦门央瞬公司是一家电子元器件设备供应商，其中有个ARM部门，专门负责ARM芯片的方案设计、销售，并在北京、上海各设立了一个办事处。对于工作日志，原先采用邮件方式发给经理，但是这种方式有个缺点，那就是不具备连续性，要看以前的日志必须一封邮件去查看，很麻烦。于是就想到利用Subversion，让员工在自己电脑上编辑日志，然后利用svn传送回来，既方便员工自己编写日志，又方便对日志的归档处理，而且提交日志的时候只需要执行一下svnupdate即可，比发送邮件还要简单的多。

svn服务器相关信息

o服务器地址：

192.168.

0.1

o服务器OS：

MS Windows 2000 Server Edition中文版

o代码库本地目录：

\svn\arm

arm部门文档的目录结构如下:

arm部门名称

├─diary 工作日志目录

│ ├─headquarters 总部工作日志目录

│ ├─beijing 北京办日志目录

│ └─shanghai 上海办日志目录

├─ref 公司公共文件参考目录

└─temp 临时文件目录

人员情况

omorson，公司总经理，其实他不必亲自看任何东西，就连部门经理们的每周总结都不一定看。但是为了表示对他的尊敬，以及满足一下他的权力欲，还是给他开放了“阅读所有文档”的权限

omichael，arm事业部的部门经理，没事的时候喜欢弄点儿新技术，用svn 来管理日志，就是他相处来的主意

oscofield，北京办人员，老员工，为人油滑难管

olincon，上海办人员，老员工，大老实人一个

olinda，总部协调员、秘书，文笔不错，长得也不错

ory，单片机技术员，技术支持

访问权限需求分析

o允许总经理读取所有文件

o除部门经理外，所有其他人员，均只能看到本办事处人员工作日志o不允许匿名访问

oref目录只允许经理和秘书写，对其他人只读

otemp目录人人都可以写

2建立代码库

在服务器D:

\svn目录下，建立arm代码库，命令如下:

\svn>svnadmin create arm

在客户机F:

用命令F:

\temp>svn import svn:

192.168.

0.1/arm导入结构

【注意点：

关于导入时候的细微差别】

3编辑代码库基础配置文件

编辑代码库arm\conf\svnserve.conf文件，如下: [general]

password-db = passwd.conf

anon-access = none

auth-access = write

authz-db = authz.conf

4管理用户帐号

新建代码库arm\conf\passwd.conf文件，如下: [users]

morson = ShowMeTheMoney

michael = mysecretpassword

scofield = hellolittilekiller

lincon = asyouknows111

rory =

linda = IlikeWorldCup2006

5建立目录访问权限控制文件

新建代码库arm\conf\authz.conf文件，内容如下: [groups]

g_vip = morson

g_manager = michael

g_beijing = scofield

g_shanghai = lincon

g_headquarters = rory, linda

g_docs = linda

[arm:

@g_manager = rw

* = r

[arm:

/diary/headquarters]

@g_manager = rw

@g_headquarters = rw @g_vip = r

* =

[arm:

/diary/beijing]

@g_manager = rw

@g_beijing = rw

@g_vip = r

* =

[arm:

/diary/shanghai]

@g_manager = rw

@g_shanghai = rw

@g_vip = r

* =

[arm:

/ref]

@g_manager = rw

@g_docs = rw

* = r

[arm:

/temp]

* = rw

6测试

在服务器上，打开一个DOS Prompt窗口，输入如下指令:

svn co svn:

127.0.

0.1/arm --no-auth-cache --username rory --password

我们应该得到如下目录结构:

arm

├─diary

│ └─headquarters

├─ref

└─temp

然后修改ref目录下任意文件并提交，服务器将会报错“Access deni”深入本章将详细介绍前一章所涉及的两个配置文件，svnserve.conf和

authz.conf，通过对配置逐行的描述，来阐明其中的一些细节含义。

这里首先要注意一点，任何配置文件的有效配置行，都不允许存在前置空格，否则程序会无法识别。也就是说，如果你直接从本文的纯文本格式中拷贝了相关的配置行过去，需要手动将前置的4个空格全部删除。当然了，如果你

觉得一下子要删除好多行的同样数目的前置空格是一件苦差使，那么也许UltraEdit的“Column Mode”编辑模式，可以给你很大帮助呢。

1 svnserve.conf

arm\conf\svnserve.conf文件，是svnserve.exe这个服务器进程的配置文件，我们逐行解释如下。

首先，我们告诉svnserve.exe，用户名与密码放在passwd.conf文件下。当然，你可以改成任意的有效文件名，比如默认的就是passwd:

password-db = passwd.conf

接下来这两行的意思，是说只允许经过验证的用户，方可访问代码库。那么哪些是“经过验证的”用户呢？噢，当然，就是前面说那些在passwd.conf文件里面持有用户名密码的家伙。这两行的等号后面，目前只允许readwritenone三种值，你如果想实现一些特殊的值，比如说“read-once”之类的，建议你自己动手改源代码，反正它也是自由软件:

anon-access = none

auth-access = write

接下来就是最关键的一句呢，它告诉svnserve.exe，项目目录访问权限的相关配置是放在authz.conf文件里:

authz-db = authz.conf

当然，svn

1.3.2引入本功能的时候，系统默认使用authz而不是authz.conf作为配置文件。不过由于鄙人是处女座的，有着强烈的完美主义情结，看着svnserve.conf有后缀而passwd和authz没有就是不爽，硬是要改了。

2 authz.conf之用户分组

arm\conf\authz.conf文件的配置段，可以分为两类，``[group]``是一类，里面放置着所有用户分组信息。其余以[arm:

/]开头的是另外一类，每一段就是对应着项目的一个目录，其目录相关权限，就在此段内设置。

首先，我们将人员分组管理，以便以后由于人员变动而需要重新设置权限时候，尽量少改动东西。我们一共设置了5个用户分组，分组名称统一采用g_前缀，以方便识别。当然了，分组成员之间采用逗号隔开:

[groups]

#任何想要查看所有文档的xx部门人士

g_vip = morson

#经理

g_manager = michael

#xx办人员

g_beijing = scofield

#xx办人员

g_shanghai = lincon

#总部一般员工

g_headquarters = rory, linda

#小秘，撰写文档

g_docs = linda

注意到没有，linda这个帐号同时存在“总部”和“文档员”两个分组里面，这可不是我老眼昏花写错了，是因为svnserve.exe允许我这样设置。它意味着，这个家伙所拥有的权限，将会比他的同事rory要多一些，这样的确很方便。具体多了哪些呢？请往下看！

3 authz.conf之项目根目录

接着，我们对项目根目录做了限制，该目录只允许arm事业部的经理才能修改，其他人都只能眼巴巴的看着:

[arm:

@g_manager = rw

* = r[arm:

/]表示这个目录结构的相对根节点，或者说是arm项目的根目录

这里的@表示接下来的是一个组名，不是用户名。你当然也可以将

@g_manager=rw这一行替换成michael=rw，而表达的意义完全一样。

*表示“除了上面提到的那些人之外的其余所有人”，也就是“除了部门经理外的其他所有人”，当然也包括总经理那个怪老头

*=r则表示“那些人只能读，不能写”

4 authz.conf之项目子目录

然后，我们要给总部人员开放日志目录的读写权限:

[arm:

/diary/headquarters]

@g_manager = rw

@g_headquarters = rw

@g_vip = r

* =

我敢打赌，设计svn的家伙们，大部分都是在unix/linux平台下工作，所以他们总喜欢使用/来标识子目录，而完全忽视在MS Windows下是用\来做同样的事情。

所以这儿，为了表示arm\diary\headquarters这个目录，我们必须使用

[arm:

/diary/headquarters]这样的格式。

这里最后一行的*=表示，除了经理、总部人员、特别人士之外，任何人都被禁止访问本目录。这一行是否可以省略呢？

之所以这儿需要将@g_vip=r一句加上，就是因为存在上述这个解释。如果说你没有明确地给总经理授予读的权力，则他会和其他人一样，被*给排除在外。

如果众位看官中间，有谁玩过防火墙配置的话，可能会感觉上述的配置很熟悉。不过这里有一点与防火墙配置不一样，那就是各个配置行之间，没有先后顺序一说。

也就是说，如果我将本段配置的*=这一行挪到最前面，完全不影响整个配置的最终效果。

请注意这儿，我们并没有给arm\diary目录设置权限，就直接跳到其子目录下进行设置了。我当然是故意这样的，因为我想在这儿引入“继承”的概念。

权限具备继承性任何子目录，均可继承其父目录的所有权限，除非它自己被明确设置了其他的权限。也就是说，在arm目录设置权限后，arm\diary目录没有进行设置，就意味着它的权限与arm目录一样，都是只有经理才有权读写，其他人只能干瞪眼。

【* =是否可以省略】【用例子引入覆盖】【单用户权限的继承问题】【父目录权限集成与全面覆盖问题】

现在来看看

好了，我们现在掌握了“继承”的威力，它让我们节省了不少敲键盘的时间。可是现在又有一个问题了，

属性具备覆盖性质子目录若设置了属性，则完全覆盖父目录。

5 authz.conf的其他注意点

把这个问题专门提出来，是因为在

1.3.1及其以前的版本里面，有个bug，即为了子目录的写权限，项目首目录必须具备读权限。因此现在使用了

1.3.2版本，就方便了那些想在一个代码库存放多个相互独立的项目的管理员，来分配权限了。比如说央舜公司建立一个大的代码库用于存放所有员工日志，叫做diary，而arm事业部只是其中一个部门，则可以这样做:

[diary:

@g_chief_manager = rw

[diary:

/arm]

@g_arm_manager = rw

@g_arm = r

这样，对于所有arm事业部的人员来说，就可以将

svn:

0.1/diary/arm这个URL当作根目录来进行日常操作，而完全不管它其实只是一个子目录，并且当有少数好奇心比较强的人想试着checkout一下svn:

192.168.

0.1/diary的时候，马上就会得到一个警告“Accessdeni”，哇，太酷了。

2.默认权限

如果说我对某个目录不设置任何权限，会怎样？马上动手做个试验，将:

[diary:

@g_chief_manager = rw

改成:

[diary:

# @g_chief_manager = rw

这样就相当于什么都没有设置。在我的svn

1.3.2版本上，此时是禁止任何访问。也就是说，如果你想要让某人访问某目录，你一定要显式指明这一点。这个策略，看起来与防火墙的策略是一致的。

3.只读权限带来的一个小副作用

若设置了:

[arm:

* = r

则svnserve认为，任何人，都不允许改动diary目录，包括删除和改名，和新增。也就是说，如果你在项目初期创建目录时候，一不小心写错目录名称，比如因拼写错误写成dairy，以后除非你改动authz.conf里面的这行设置，否则无法利用svn mv命令将错误的目录更正。

改进

1对中文目录的支持

上午上班的时候，Morson来到Michael的桌子前面，说道：

“你是否可以将我们的北京办、上海办目录，改成用中文的，看着那些拼音我觉得很难受？”Michael心想，还好这两天刚了解了一些与unicode编码相关的知识，于是微笑地回答：

“当然可以，你明天下午就可以看到中文目录名称了。”

2.arm

3.├─工作xx

4.│ ├─总部人员

5.│ ├─xx办

6.│ └─xx办

7.├─公司公共文件参考目录

8.└─临时文件存放处

9.修改代码库的authz.conf文件，将相应目录逐一改名

10.使用UltraEdit将authz.conf文件转换成不带BOM的UTF-8格式将配置文件转换成UTF-8格式之后，Subversion就能够正确识别中文字符了。但是这里需要注意一点，即必须保证UTF-8文件不包含BOM。BOM是ByteOrderMark的缩写，指UNICODE文件头部用于指明高低字节排列顺序的几个字符，通常是FFFE，而将之用UTF-8编码之后，就是EFBBBF。由于UTF-8文件本身不存在字节序问题，所以对UTF-16等编码方式有重大意义的BOM，对于UTF-8来说，只有一个作用——表明这个文件是UTF-8格式。由于BOM会给文本处理带来很多难题，所以现在很多软件都要求使用不带BOM的UTF-8文件，特别是一些处理文本的软件，如PHP、UNIX脚本文件等，svn也是如此。

目前常用的一些文本编辑工具中，MS Windows自带的“记事本”里面，“另存为”菜单保存出来的UTF-8格式文件，会自动带上BOM。新版本UltraEdit提供了选项，允许用户选择是否需要BOM，而老版本的不会添加BOM。请各位查看一下自己常用的编辑器的说明文件，看看它是否支持这个功能。利用UltraEdit，我们可以将BOM去掉。方法是，首先利用“UTF-8TOASCII”菜单将文件转换成本地编码，通常是GB2312码，然后再使用“ASCII TOUTF-

8(UNICODEEditing)”来转换到UTF-8即可。

一个SVN管理多个资料库时的用户权限配置

作为一个配置管理员，需要管理用户的权限，本文主要介绍了使用Subversion的授权文件“authz-db”，同时为了叙述的清晰，我首先澄清一些概念。认证（Authentication）和授权（Authorization）这两个术语经常一起出现。其中认证的意思就是鉴别用户的身份，最常见的方式就是使用用户名和密码，授权就是判断用户是否具备某种操作的权限，在Subversion里提供了“authz-db”文件，实现了以路径为基础的授权，也就是判断用户是否有操作对应路径的权限。svnserve下的配置文件因为本文是以svnserve为例的，所以先介绍一下版本库目录的结构： D:\SVNROOT\PROJECT1 ├─conf ├─dav ├─db │ ├─revprops │ ├─revs │ └─transactions ├─hooks └─locks 其中conf下面有三个文件： authz passwd svnserve.conf 其中的“svnserve.conf”是这个版本库的配置文件，当使用svnserve时，这个配置文件决定了使用什么认证和授权文件： password-db = passwd authz-db = authz 上面的配置说明使用“svnserve.conf”同目录的passwd和authz，其中的password-db指定了用户密码文件，authz-db是我们的授权文件，也就是我们本文主要介绍的文件。基于svnserve的版本库文件布局使用svnserve时，为了管理的方便，应该使用相同的认证和授权文件，所以应该让所有版本库的配置文件svnserve.conf指向同一个password-db和authz-db文件。下面是一个多版本库的目录： D:\SVNROOT ├─project1 │ ├─conf │ ├─dav │ ├─db

SVN管理员使用指南

SVN 管理员使用指南

目录 1Subversion简介 (1) 1.1Subversion简介 (1) 1.2Subversion架构 (2) 1.3Subversion组件 (3) 1.4Subversion基本流程 (3) 2安装SVN 服务 (4) 2.1安装SVN和TortoiseSVN (4) 2.2创建SVN资源库 (4) 2.3创建SVNserver服务 (5) 2.4运行SVNserver服务 (6) 3用户及权限管理 (6) 3.1用户管理 (7) 3.2权限管理 (7) 4SVN基本使用 (9) 4.1导入/导出（import/export） (9) 4.2初始化检出（checkout） (10) 4.3更新修改（update） (10) 4.4查看日志信息（show log） (10) 4.5取消修改（revert） (10) 4.6提交修改（commit） (10) 4.7合并信息（merge） (10) 4.8创建/删除/重命名 (10) 4.9加锁/释放锁（get/release lock） (10) 4.10添加、删除、重命名（add、delete、rename） (10) 4.11拷贝（copy） (13) 4.12查看修改信息（check for modifications） (13) 4.13分支/标记（branch/tag） (13)

4.14创建并应用补丁（create/apply patch） (15) 4.15备份/恢复资源库 (17) 4.16删除资源库 (19) 4.17版本（revision）关键字 (19) 4.18统计信息（statistics） (20) 4.19禁用密码缓存 (21) 5TortoiseSVN设置 (21) 5.1常规设置（General） (23) 5.2图标叠加（Icon overlays） (27) 5.3网络设置（network） (29) 5.4日志缓存设置（log caching） (30) 5.5钩子脚本设置（Hook Scripts） (32) 5.6外部程序设置（external programs） (32) 6TortoiseSVN基本命令 (37) 6.1Svn子命令 (37) 6.2Svnadmin (38) 6.2.1Svnadmin Switches (39) 6.2.2Svnadmin Subcommands (39) 6.3Svnlook (40) 6.3.1Svnlook选项 (40) 6.3.2Svnlook (41) 6.4Svnserve (41) 6.4.1Svnserve选项 (41) 6.5Svnversion (42) 6.5.1Svnversion选项 (42)

SVN权限控制解析

SVN权限控制解析作为一个配置管理员，需要管理用户的权限，本文主要介绍了如何使用Subversion的授权文件“authz-db”，同时为了叙述的清晰，我首先澄清一些概念。 1、认证(Authentication）和授权(Authorization）这两个术语经常一起出现。其中认证的意思就是鉴别用户的身份，最常见的方式就是使用用户名和密码，授权就是判断用户是否具备某种操作的权限，在Subversion里提供了“authz-db”文件，实现了以路径为基础的授权，也就是判断用户是否有操作对应路径的权限，在Subversion 1.3之后，svnserve和Apache一样都可以使用“authz-db”文件。 2、svnserve下的配置文件因为本文是以svnserve为例的，所以先介绍一下版本库目录的结构：其中conf下面有三个文件：其中的“svnserve.conf”是这个版本库的配置文件，当使用svnserve时，

上面的配置说明： 1、匿名用户的权限为none(可以为none、read、write） 2、认证用户的权限为write(可以为none、read、write。SVN的权限认证方式是基于此处的设置和anthz授权文件中的设置，两者都满足 (&方式)才成立，即 read&read=read,read&write=read,write&write=write,所以此处应把认证用户的权限设置为write，否则authz文件中关于写权限的设置都会无效的 3、使用了“svnserve.conf”同目录的passwd和authz，其中的 password-db指定了用户密码文件，authz-db是我们的授权文件，也就是我们本文主要介绍的文件。 4、realm为“My First Repository”，这个值作为客户端保存服务器端信息(如用户和密码)的唯一识别符注意：使用Apache作为服务器时，根本就不会参考“svnserve.conf”文件的内容，而是会参考Apache的配置。 3、基于svnserve的版本库文件布局使用svnserve时，为了管理的方便，应该使用相同的认证和授权文件，所以应该让所有版本库的配置文件svnserve.conf指向同一个password-db和authz-db文件。下面是一个多版本库的目录：