目 錄

1   前言
1.1   Subversion 權(quán)限簡(jiǎn)介
1.2   其他信息
2   致謝
3   實(shí)戰(zhàn)
3.1   背景假設(shè)
3.2   使用 svnserve.exe 作為 Subversion 服務(wù)器
3.2.1   啟動(dòng) Subversion 服務(wù)
3.2.2   建立代碼庫(kù)
3.2.3   編輯代碼庫(kù)基礎(chǔ)配置文件
3.2.4   管理用戶(hù)賬號(hào)
3.2.5   建立目錄訪問(wèn)權(quán)限控制文件
3.2.6   導(dǎo)入代碼
3.2.7   測(cè)試
4   深入
4.1   svnserve.conf
4.2   authz.conf 之用戶(hù)分組
4.3   authz.conf 之項(xiàng)目根目錄
4.4   authz.conf 之項(xiàng)目子目錄
4.5   authz.conf 之目錄表示法
4.6   authz.conf 的其他注意點(diǎn)
5   改進(jìn)
5.1   對(duì)中文目錄的支持
6   參考文獻(xiàn)
7   歷史軌跡

1   前言
1.1   Subversion 權(quán)限簡(jiǎn)介在 Subversion 的使用當(dāng)中，存在“認(rèn)證”、“授權(quán)”兩個(gè)概念。認(rèn)證，即 authentication，是指用戶(hù)名與密碼的認(rèn)證。授權(quán)，即 authorization ，是指某用戶(hù)對(duì)某個(gè)目錄是否具備讀、寫(xiě)權(quán)限的一種審核。這兩者配合作用，就組成了 Subversion 的整個(gè)帳戶(hù)管理體系。

在實(shí)際的工作當(dāng)中，我們有時(shí)候會(huì)遇見(jiàn)需要控制項(xiàng)目目錄的訪問(wèn)權(quán)限的情況，比如說(shuō)對(duì)項(xiàng)目的一些關(guān)鍵模塊進(jìn)行限制，僅允許少數(shù)授權(quán)人士才可以修改等。由 于項(xiàng)目的目錄本身就是作為版本庫(kù)的一個(gè)部分被 Subversion 所收管，所以我們無(wú)法利用操作系統(tǒng)的帳戶(hù)權(quán)限體系，來(lái)實(shí)現(xiàn)授權(quán)控制。因此，這個(gè)問(wèn)題就只有讓svn自己來(lái)解決了。

Subversion 提供了面向目錄的帳戶(hù)權(quán)限管理功能，通過(guò)它，我們就可以很精確地實(shí)現(xiàn)項(xiàng)目目錄的訪問(wèn)控制。不過(guò)在 1.2 及其以前的版本，我們只能利用 mod_authz_svn.so 模塊，結(jié)合 Apache 服務(wù)器來(lái)實(shí)現(xiàn)目錄訪問(wèn)控制，這對(duì)于對(duì) Apache 的配置與使用不是很熟悉的人來(lái)說(shuō)，就不是很方便了。而Subversion終于在 1.3 版本上，在 svnserve.exe 服務(wù)器里面添加了這一功能，方便了很多人。

1.2   其他信息本文面向那些 Subversion 的管理員，或者任何對(duì) Subversoin 有興趣的人們。本文假定讀者對(duì)Subversion有一定的了解，因此不打算對(duì)所有涉及到的安裝、使用，做一個(gè)細(xì)節(jié)性的描述。若對(duì)于文章中描述的其他細(xì)節(jié) 方面有所疑問(wèn)，請(qǐng)?jiān)L問(wèn)“參考文獻(xiàn)”一節(jié)里面的參考資料。如果你對(duì)本文任何地方有什么意見(jiàn)，或者發(fā)現(xiàn)本文有著大大小小的錯(cuò)誤，請(qǐng)聯(lián)系 zhengxinxing <AT> gmail <DOT> com 。

本文是基于 Subversion 1.3.2、MS Windows 2003 Server Edition 平臺(tái)來(lái)編寫(xiě)的，且 Subversion 服務(wù)器是利用 svnserve.exe 來(lái)架設(shè)的。不過(guò)，本文講述到的絕大多數(shù)內(nèi)容，都是不僅與操作系統(tǒng)平臺(tái)無(wú)關(guān)，而且與是采用 svnserve(.exe) 還是使用 Apache 來(lái)作為 Subversion 服務(wù)器也基本無(wú)關(guān)。因此為免羅嗦，本文就以 svnserve(.exe) 為例進(jìn)行描述，而略過(guò) Apache 服務(wù)器相關(guān)的內(nèi)容，有興趣的讀者可以參考其他文章來(lái)在 Apache 服務(wù)器下實(shí)現(xiàn)類(lèi)似的功能。

本文是利用 reST 格式來(lái)編寫(xiě)的，如果你對(duì)它感興趣，請(qǐng)?jiān)L問(wèn) http://docutils./rst.html 。如果想要看到更好的html格式，你可以通篇復(fù)制本文到一個(gè)文本文件里，然后利用 docutils 的 rst2html.py 腳本編譯它，當(dāng)然，首先你必須安裝 python。

本文的獲得方式：

原始發(fā)布點(diǎn)： http:///bbs/thread-6-1-1.html
完整源文件，請(qǐng)利用 svn 命令來(lái)獲取，命令為 svn co svn://cvs.woodpecker.org.cn/woodpecker/zqlib/tangle/michael.zheng/road2svn
HTML版式文件，請(qǐng)?jiān)L問(wèn) http://zhengxinxing./The.Road.to.Subversion_authz.html （推薦）或 http://swjr./archives/2006/TheRoadToSubversion1authz.shtml 。
2   致謝非常感謝 站的站長(zhǎng) PCplayer ，他在本文編寫(xiě)過(guò)程中，給我提出了很多寶貴的意見(jiàn)與建議。

感謝 woodpecker.org.cn 提供的 Subversion 空間，讓更多的人可以通過(guò) svn 獲得本文件。

感謝 google 公司提供的免費(fèi)主頁(yè)空間，讓我可以放置完全定制的 HTML 文件。

3   實(shí)戰(zhàn)本章先直接給出需求及其最終的結(jié)果，如果你覺(jué)得對(duì)配置有什么疑問(wèn)，或者看不懂，請(qǐng)不要著急，我會(huì)在后面的章節(jié)詳細(xì)描述的。

3.1   背景假設(shè)廈門(mén)央瞬公司是一家電子元器件設(shè)備供應(yīng)商，其中有個(gè)ARM部門(mén)，專(zhuān)門(mén)負(fù)責(zé)ARM芯片的方案設(shè)計(jì)、銷(xiāo)售，并在北京、上海各設(shè)立了一個(gè)辦事處。對(duì)于工 作日志，原先采用郵件方式發(fā)給經(jīng)理，但是這種方式有個(gè)缺點(diǎn)，那就是不具備連續(xù)性，要看以前的日志必須一封一封郵件去查看，很麻煩。于是就想到利用 Subversion， 讓員工在自己電腦上編輯日志，然后利用svn傳送回來(lái)，既方便員工自己編寫(xiě)日志，又方便對(duì)日志的歸檔處理，而且提交日志的時(shí)候只需要執(zhí)行一下 svn commit 即可，比發(fā)送郵件還要簡(jiǎn)單的多。

svn服務(wù)器相關(guān)信息

服務(wù)器地址： 192.168.0.1
服務(wù)器OS： MS Windows 2000 Server Edition 中文版
用于存放日志的代碼庫(kù)本地目錄： D:\svn\arm
arm部門(mén)文檔的目錄結(jié)構(gòu)如下:

arm                 部門(mén)名稱(chēng)
├─diary           工作日志目錄
│  ├─headquarters    總部工作日志目錄
│  ├─beijing         北京辦日志目錄
│  └─shanghai        上海辦日志目錄
├─ref             公司公共文件參考目錄
└─temp            臨時(shí)文件目錄

人員情況

morson，公司總經(jīng)理，不習(xí)慣使用電腦，更喜歡傳統(tǒng)的紙與筆，以及面對(duì)面的交流
michael，arm事業(yè)部的部門(mén)經(jīng)理，沒(méi)事的時(shí)候喜歡弄點(diǎn)兒新技術(shù)，用svn來(lái)管理日志，就是他想出來(lái)的主意
scofield，北京辦人員，老員工，為人油滑難管
lincon，上海辦人員，老員工，大老實(shí)人一個(gè)
linda，總部協(xié)調(diào)員、秘書(shū)，文筆不錯(cuò)，長(zhǎng)得也不錯(cuò)
rory，單片機(jī)技術(shù)員，技術(shù)支持
訪問(wèn)權(quán)限需求分析

允許總經(jīng)理、部門(mén)經(jīng)理讀取所有文件。順便給他們開(kāi)放寫(xiě)權(quán)限，以便體現(xiàn)對(duì)他們職位的尊重，雖然對(duì)于某些文件來(lái)說(shuō)，他們?nèi)魮碛?#8220;寫(xiě)”權(quán)限其實(shí)也沒(méi)什么用處
除部門(mén)經(jīng)理外，所有其他人員，均只能看到本辦事處人員工作日志
不允許匿名訪問(wèn)
ref目錄只允許經(jīng)理和秘書(shū)讀寫(xiě)，對(duì)其他人只讀
temp目錄人人都可以隨意讀寫(xiě)
3.2   使用 svnserve.exe 作為 Subversion 服務(wù)器本節(jié)描述如何利用 svnserve.exe 來(lái)作為代碼庫(kù)服務(wù)器端，實(shí)現(xiàn)上述功能。至于另外一種代碼庫(kù)服務(wù)器端，即利用 Apache 結(jié)合 mod_dav_svn.so 來(lái)實(shí)現(xiàn)的代碼庫(kù)服務(wù)器端，由于其對(duì)于本文敘述的內(nèi)容“實(shí)現(xiàn)精細(xì)的目錄訪問(wèn)權(quán)限控制”而言，與前者沒(méi)有太大的區(qū)別，故而略過(guò)不提。它們二者只是在初次安裝、 配置方面存在一些不同，有興趣的讀者，可以參考其他文檔，重新實(shí)驗(yàn)下述步驟。

3.2.1   啟動(dòng) Subversion 服務(wù)
在服務(wù)器端，打開(kāi)一個(gè)命令行窗口，用CD命令進(jìn)入 Subversion 安裝目錄下的 bin 目錄，運(yùn)行如下指令:

svnserve -d -r d:\svn

其中的 -d 參數(shù)表示 svnserve.exe 將會(huì)作為一個(gè)服務(wù)程序運(yùn)行在后臺(tái)，而 -r 參數(shù)表示將 D:\svn 目錄指定為代碼庫(kù)的根目錄。這樣，當(dāng)客戶(hù)端使用類(lèi)似 svn://192.168.0.1/foo 這樣內(nèi)容的 URL 來(lái)訪問(wèn)服務(wù)器時(shí)候，其所訪問(wèn)到的真實(shí)代碼庫(kù)，其實(shí)就是 D:\svn\foo

用上述命令行方式啟動(dòng)的 svn 服務(wù)有個(gè)小缺點(diǎn)，就是在本試驗(yàn)過(guò)程中，服務(wù)器端必須要一直開(kāi)著那個(gè)運(yùn)行了上述命令的DOS窗口，不能關(guān)閉它。如果不想看到這個(gè)窗口，可以將 svnserve 安裝成 windows 的一個(gè) services，安裝方式請(qǐng)參考其他文章。

3.2.2   建立代碼庫(kù)
在服務(wù)器端的 D:\svn 目錄下，建立一個(gè)名為 arm 的代碼庫(kù)，命令如下:

D:\svn>svnadmin create arm

使用上述命令之后，如果不出問(wèn)題的話(huà)，在 D:\svn 目錄下就會(huì)多出一個(gè)叫做 arm 的目錄，其下具備 conf、dav、hooks、locks、db 等子目錄或文件，此即 一個(gè)名為arm的代碼庫(kù) 。從此，通過(guò) svn://192.168.0.1/arm 這樣的 URL，我們就可以對(duì)這個(gè)代碼庫(kù)進(jìn)行訪問(wèn)了。接下來(lái)就要進(jìn)入本文的正題了，也就是權(quán)限配置部分了。

其實(shí)進(jìn)入 arm\conf 目錄你就會(huì)發(fā)現(xiàn)，它下面已經(jīng)存在三個(gè)寫(xiě)了一些幫助信息和示例的配置文件，以幫助用戶(hù)盡早掌握其配置方法。這三個(gè)默認(rèn)的配置文件分別是 svnserve.conf、passwd、authz 。其中后兩者沒(méi)有后綴，對(duì)于 windows 系統(tǒng)的用戶(hù)來(lái)說(shuō)，看起來(lái)總是有些怪異，所以在接下來(lái)的章節(jié)里面，我將它們兩個(gè)都給添加了個(gè) conf 后綴，以便管理。

3.2.3   編輯代碼庫(kù)基礎(chǔ)配置文件
在服務(wù)器端，編輯代碼庫(kù)的 arm\conf\svnserve.conf 文件，如下:

[general]
password-db = passwd.conf
anon-access = none
auth-access = write
authz-db = authz.conf

3.2.4   管理用戶(hù)賬號(hào)
在服務(wù)器端，新建 arm\conf\passwd.conf 文件，如下:

[users]
morson = ShowMeTheMoney
michael = mysecretpassword
scofield = hellolittilekiller
lincon = asyouknows111
rory = 8809117
linda = IlikeWorldCup2006

3.2.5   建立目錄訪問(wèn)權(quán)限控制文件
在服務(wù)器端，新建 arm\conf\authz.conf 文件，內(nèi)容如下:

[groups]
g_vip = morson
g_manager = michael
g_beijing = scofield
g_shanghai = lincon
g_headquarters = rory, linda
g_docs = linda
[arm:/]
@g_manager = rw
* = r
[arm:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =
[arm:/diary/beijing]
@g_manager = rw
@g_beijing = rw
@g_vip = r
* =
[arm:/diary/shanghai]
@g_manager = rw
@g_shanghai = rw
@g_vip = r
* =
[arm:/ref]
@g_manager = rw
@g_docs = rw
* = r
[arm:/temp]
* = rw

3.2.6   導(dǎo)入代碼
在客戶(hù)機(jī) F:\temp 目錄下，建立好前述“背景假設(shè)”一節(jié)中描述的目錄結(jié)構(gòu)，然后用命令 F:\temp>svn import arm svn://192.168.0.1/arm --username michael --password mysecretpassword 導(dǎo)入整個(gè)目錄結(jié)構(gòu)。

這條指令的精確意思是，將 arm 目錄下面的所有東西，導(dǎo)入到那個(gè)名叫 arm 的代碼庫(kù)中去。如果你不指定源目錄，則 svn 會(huì)默認(rèn)將當(dāng)前目錄作為源目錄。比如說(shuō)，你處于 F:\temp 目錄下的時(shí)候，直接執(zhí)行 svn import svn://192.168.0.1/arm ，那么當(dāng)你取出你的代碼的時(shí)候，你會(huì)發(fā)現(xiàn)，居然多了一層名為 arm 的目錄。結(jié)果，你就必須使用類(lèi)似 svn://192.168.0.1/arm/arm 這樣怪異的URL，才能夠正確訪問(wèn)到你的代碼們。

這一點(diǎn)粗看好像不是特別重要，不過(guò)聯(lián)想到前述的目錄授權(quán)規(guī)則，可都是按照標(biāo)準(zhǔn)的項(xiàng)目目錄結(jié)構(gòu)來(lái)設(shè)計(jì)的。突然之間，你項(xiàng)目的根目錄之上，多出了一個(gè)名 為 arm 的目錄，那么我們的所有目錄授權(quán)規(guī)則，基本上都要全部改過(guò)了，否則除了根目錄，你永遠(yuǎn)會(huì)得到一個(gè)莫名其妙的“access denied”。由于 Subversion 在這一步驟上的界面不夠人性化，因此這是初學(xué)者很容易弄混的地方之一。

3.2.7   測(cè)試
在服務(wù)器上，打開(kāi)一個(gè) DOS Prompt 窗口，輸入如下指令:

svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117

我們應(yīng)該得到如下目錄結(jié)構(gòu):

arm
├─diary
│  └─headquarters
├─ref
└─temp

然后修改ref目錄下任意文件并提交，服務(wù)器將會(huì)報(bào)錯(cuò)“Access denied”，Bingo!

4   深入本章將詳細(xì)介紹前一章所涉及的兩個(gè)配置文件， svnserve.conf 和 authz.conf，通過(guò)對(duì)配置逐行的描述，來(lái)闡明其中的一些細(xì)節(jié)含義。除此之外的其他配置、安裝等內(nèi)容，不是本文重點(diǎn)，讀者若有什么疑問(wèn)，請(qǐng)參考后面 “參考文獻(xiàn)”中列出的一些文檔。

這里首先要注意一點(diǎn)，任何配置文件的有效配置行，都 不允許存在前置空格 ，否則程序可能會(huì)出錯(cuò)，給你一個(gè) Option expected 的提示。也就是說(shuō)，如果你直接從本文的純文本格式中拷貝了相關(guān)的配置行過(guò)去，需要手動(dòng)將前置的4個(gè)空格全部刪除。當(dāng)然了，如果你覺(jué)得一下子要?jiǎng)h除好多行的 同樣數(shù)目的前置空格是一件苦差使，那么也許 UltraEdit 的“Column Mode”編輯模式，可以給你很大幫助。

4.1   svnserve.confarm\conf\svnserve.conf 文件，是 svnserve.exe 這個(gè)服務(wù)器進(jìn)程的配置文件，我們逐行解釋如下。

首先，我們告訴 svnserve.exe，用戶(hù)名與密碼放在 passwd.conf 文件下。當(dāng)然，你可以改成任意的有效文件名，比如默認(rèn)的就是 passwd:

password-db = passwd.conf

接下來(lái)這兩行的意思，是說(shuō)只允許經(jīng)過(guò)驗(yàn)證的用戶(hù)，方可訪問(wèn)代碼庫(kù)。 那么哪些是“經(jīng)過(guò)驗(yàn)證的”用戶(hù)呢？噢，當(dāng)然，就是前面說(shuō)那些在 passwd.conf 文件里面持有用戶(hù)名密碼的家伙。這兩行的等號(hào)后面，目前只允許 read write none 三種值，你如果想實(shí)現(xiàn)一些特殊的值，比如說(shuō)“read-once”之類(lèi)的，建議你自己動(dòng)手改源代碼，反正它也是自由軟件:

anon-access = none
auth-access = write

接下來(lái)就是最關(guān)鍵的一句呢，它告訴 svnserve.exe，項(xiàng)目目錄訪問(wèn)權(quán)限的相關(guān)配置是放在 authz.conf 文件里:

authz-db = authz.conf

當(dāng)然，svn 1.3.2 引入本功能的時(shí)候，系統(tǒng)默認(rèn)使用 authz 而不是 authz.conf 作為配置文件。不過(guò)可能由于鄙人是處女座的，據(jù)說(shuō)有著強(qiáng)烈的完美主義情結(jié)，看著 svnserve.conf 有后綴而 passwd 和 authz 沒(méi)有就是不爽，硬是要改了。

上述的 passwd.conf 和 authz.conf 兩個(gè)文件也可以作為多個(gè)代碼庫(kù)共享使用，我們只要將它們放在公共目錄下，比如說(shuō)放在 D:\svn 目錄下，然后在每個(gè)代碼庫(kù)的 svnserve.conf 文件中，使用如下語(yǔ)句:

password-db = ..\..\passwd.conf
authz-db = ..\..\authz.conf

或者:

password-db = ../../passwd.conf
authz-db = ../../authz.conf

這樣就可以讓多個(gè)代碼庫(kù)共享同一個(gè)用戶(hù)密碼、目錄控制配置文件，這在有些情況下是非常方便的。

4.2   authz.conf 之用戶(hù)分組arm\conf\authz.conf 文件的配置段，可以分為兩類(lèi)， [group] 是一類(lèi)，里面放置著所有用戶(hù)分組信息。其余以 [arm:/] 開(kāi)頭的是另外一類(lèi)，每一段就是對(duì)應(yīng)著項(xiàng)目的一個(gè)目錄，其目錄相關(guān)權(quán)限，就在此段內(nèi)設(shè)置。

首先，我們將人員分組管理，以便以后由于人員變動(dòng)而需要重新設(shè)置權(quán)限時(shí)候，盡量少改動(dòng)?xùn)|西。我們一共設(shè)置了5個(gè)用戶(hù)分組，分組名稱(chēng)統(tǒng)一采用 g_ 前綴，以方便識(shí)別。當(dāng)然了，分組成員之間采用逗號(hào)隔開(kāi):

[groups]
# 任何想要查看所有文檔的非本部門(mén)人士
g_vip = morson
# 經(jīng)理
g_manager = michael
# 北京辦人員
g_beijing = scofield
# 上海辦人員
g_shanghai = lincon
# 總部一般員工
g_headquarters = rory, linda
# 小秘，撰寫(xiě)文檔
g_docs = linda

注意到?jīng)]有， linda 這個(gè)賬號(hào)同時(shí)存在“總部”和“文檔員”兩個(gè)分組里面，這可不是我老眼昏花寫(xiě)錯(cuò)了，是因?yàn)?Subversion 允許我這樣設(shè)置。它意味著，這個(gè)家伙所擁有的權(quán)限，將會(huì)比他的同事 rory 要多一些，這樣的確很方便。具體多了哪些呢？請(qǐng)往下看！

4.3   authz.conf 之項(xiàng)目根目錄接著，我們對(duì)項(xiàng)目根目錄做了限制，該目錄只允許arm事業(yè)部的經(jīng)理才能修改，其他人都只能眼巴巴的看著:

[arm:/]
@g_manager = rw
* = r

[arm:/] 表示這個(gè)目錄結(jié)構(gòu)的相對(duì)根節(jié)點(diǎn)，或者說(shuō)是 arm 項(xiàng)目的根目錄。其中的 arm 字樣，其實(shí)就是代碼庫(kù)的名稱(chēng)，即前面用 svnadmin create 命令創(chuàng)建出來(lái)的那個(gè) arm。
這里的 @ 表示接下來(lái)的是一個(gè)組名，不是用戶(hù)名。因?yàn)槟壳?g_manager 組里面只有一個(gè) michael，你當(dāng)然也可以將 @g_manager = rw 這一行替換成 michael = rw ，而表達(dá)的意義完全一樣。
* 表示“除了上面提到的那些人之外的其余所有人”，也就是“除了部門(mén)經(jīng)理外的其他所有人”，當(dāng)然也包括總經(jīng)理那個(gè)怪老頭
* = r 則表示“那些人只能讀，不能寫(xiě)”
4.4   authz.conf 之項(xiàng)目子目錄然后，我們要給總部人員開(kāi)放日志目錄的讀寫(xiě)權(quán)限:

[arm:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =

這個(gè)子目錄的設(shè)置有些特色，因?yàn)閺男枨蠓治鲋形覀冎?，這個(gè)子目錄的權(quán)限范圍要比其父目錄小，它不允許除指定了的之外其他任何人訪問(wèn)。在這段設(shè)置中，我們需要注意以下幾點(diǎn)：

我敢打賭，設(shè)計(jì)svn的家伙們，大部分都是在類(lèi) unix 平臺(tái)下工作，所以他們總喜歡使用 / 來(lái)標(biāo)識(shí)子目錄，而完全忽視在 MS Windows 下是用 \ 來(lái)做同樣的事情。所以這兒，為了表示 diary\headquarters 這個(gè)目錄，我們必須使用 [arm:/diary/headquarters] 這樣的格式。當(dāng)然如果你一定要用 \ ，那么唯一的結(jié)果就是，Subversion 會(huì)將你的這部分設(shè)置置之不理，全當(dāng)沒(méi)看到。
這里最后一行的 * = 表示，除了經(jīng)理、總部人員、特別人士之外，任何人都被禁止訪問(wèn)本目錄。這一行是否可以省略呢？不行，因?yàn)?權(quán)限具備繼承性 ，子目錄會(huì)自動(dòng)擁有父目錄的權(quán)限。若沒(méi)有這一行，則所有賬號(hào)都可以讀取 /diary/headquarters 目錄下的文件。因?yàn)殡m然我們并沒(méi)有設(shè)置這個(gè)目錄的父目錄權(quán)限，可是默認(rèn)的規(guī)則使得 /diary 目錄的權(quán)限與根目錄完全一樣，從而讓其余賬號(hào)獲得對(duì) /diary/headquarters 目錄的 r 權(quán)限。所以簡(jiǎn)單來(lái)說(shuō)， * = 這一句的目的，就是割斷權(quán)限繼承性，使得管理員可以定制某個(gè)目錄及其子目錄的權(quán)限，從而完全避開(kāi)其父目錄權(quán)限設(shè)置的影響。
之所以這兒需要將 @g_vip = r 一句加上，就是因?yàn)榇嬖谏鲜鲞@個(gè)解釋。如果說(shuō)你沒(méi)有明確地給總經(jīng)理授予讀的權(quán)力，則他會(huì)和其他人一樣，被 * = 給排除在外。
如果眾位看官中間，有誰(shuí)玩過(guò)防火墻配置的話(huà)，可能會(huì)感覺(jué)上述的配置很熟悉。不過(guò)這里有一點(diǎn)與防火墻配置不一樣，那就是各個(gè)配置行之間，沒(méi)有 先后順序 一說(shuō)。也就是說(shuō)，如果我將本段配置的 * = 這一行挪到最前面，完全不影響整個(gè)配置的最終效果。
接下來(lái)我們看看這一段:

[arm:/ref]
@g_manager = rw
@g_docs = rw
* = r

這里的主要看點(diǎn)，就是 g_docs 組里面包含了一個(gè) linda 賬號(hào)，她也同時(shí)在 g_headquarters 組里面出現(xiàn)，這就意味著， linda 將具備對(duì) /ref 和 diary\headquarters 兩個(gè)目錄的讀寫(xiě)權(quán)限。

4.5   authz.conf 之目錄表示法在前面的描述中，我們都采用 [repos:/some/dir] 這樣的格式來(lái)表示項(xiàng)目的某個(gè)目錄，比如上一小節(jié)中的 [arm:/diary/headquarters] 。而實(shí)際上，Subversion 允許你采用 `[/some/dir] 這樣的格式，即不指定代碼庫(kù)的方式來(lái)表示目錄，此時(shí)的目錄就匹配所有項(xiàng)目。

對(duì)于使用 svnserve 的用戶(hù)來(lái)說(shuō)，只有當(dāng) svnserve 運(yùn)行的時(shí)候使用了 -r 參數(shù)，并且讓多個(gè)代碼庫(kù)共享同一個(gè)目錄權(quán)限文件（即 authz.conf 或 authz）時(shí)，不指明代碼庫(kù)名稱(chēng)才有可能惹麻煩。一般情況下，我們對(duì)每個(gè)代碼庫(kù)都會(huì)獨(dú)立使用配置文件，畢竟每個(gè)項(xiàng)目的目錄結(jié)構(gòu)，都有很大不同，混在一起 意義不大。因此一般來(lái)說(shuō)，為簡(jiǎn)潔起見(jiàn)，都可以不指明代碼庫(kù)名稱(chēng)。本文全都指明了代碼庫(kù)名稱(chēng)，主要是為了將來(lái)擴(kuò)展成同一個(gè)配置文件，以方便配合 Apache 服務(wù)器。

對(duì)于使用 Apache 的用戶(hù)來(lái)說(shuō)，它們二者可有著很大的不同，因?yàn)榇藭r(shí)往往習(xí)慣于使用一個(gè)公共的目錄權(quán)限配置文件。如果你使用了 SVNParentPath 指令，則指定版本庫(kù)的名字是很重要的，因?yàn)榧偃裟闶褂煤笳?，那?[/some/dir] 部分就會(huì)與所有代碼庫(kù)項(xiàng)目的 [/some/dir] 目錄匹配。如果你使用 SVNPath 指令，則這兩種表示方式就沒(méi)有什么區(qū)別了，畢竟只有一個(gè)版本庫(kù)。

4.6   authz.conf 的其他注意點(diǎn)父目錄的 r 權(quán)限，對(duì)子目錄 w 權(quán)限的影響
把這個(gè)問(wèn)題專(zhuān)門(mén)提出來(lái)，是因?yàn)樵?.3.1及其以前的版本里面，有個(gè)bug，即某個(gè)賬號(hào)為了對(duì)某個(gè)子目錄具備寫(xiě)權(quán)限，則必須對(duì)其父目錄具備讀權(quán)限。因此現(xiàn) 在使用了1.3.2及其更高的版本，就方便了那些想在一個(gè)代碼庫(kù)存放多個(gè)相互獨(dú)立的項(xiàng)目的管理員，來(lái)分配權(quán)限了。比如說(shuō)央舜公司建立一個(gè)大的代碼庫(kù)用于存 放所有員工日志，叫做 diary，而arm事業(yè)部只是其中一個(gè)部門(mén)，則可以這樣做:

[diary:/]
@g_chief_manager = rw
[diary:/arm]
@g_arm_manager = rw
@g_arm = r

這樣，對(duì)于所有arm事業(yè)部的人員來(lái)說(shuō)，就可以將 svn://192.168.0.1/diary/arm 這個(gè)URL當(dāng)作根目錄來(lái)進(jìn)行日常操作，而完全不管它其實(shí)只是一個(gè)子目錄，并且當(dāng)有少數(shù)好奇心比較強(qiáng)的人想試著 checkout 一下 svn://192.168.0.1/diary 的時(shí)候，馬上就會(huì)得到一個(gè)警告“Access denied”，哇，太酷了。

默認(rèn)權(quán)限
如果說(shuō)我對(duì)某個(gè)目錄不設(shè)置任何權(quán)限，會(huì)怎樣？馬上動(dòng)手做個(gè)試驗(yàn)，將:

[diary:/]
@g_chief_manager = rw

改成:

[diary:/]
# @g_chief_manager = rw

這樣就相當(dāng)于什么都沒(méi)有設(shè)置。在我的 svn 1.3.2 版本上，此時(shí)是禁止任何訪問(wèn)。也就是說(shuō)，如果你想要讓某人訪問(wèn)某目錄，你一定要顯式指明這一點(diǎn)。這個(gè)策略，看起來(lái)與防火墻的策略是一致的。

只讀權(quán)限帶來(lái)的一個(gè)小副作用
若設(shè)置了:

[arm:/diary]
* = r

則 Subversion 會(huì)認(rèn)為，任何人都不允許改動(dòng) diary 目錄，包括刪除、 改名 ，和 新增 。

也就是說(shuō)，如果你在項(xiàng)目初期創(chuàng)建目錄時(shí)候，一不小心寫(xiě)錯(cuò)目錄名稱(chēng)，比如因拼寫(xiě)錯(cuò)誤寫(xiě)成 dairy，以后除非你改動(dòng) authz.conf 里面的這行設(shè)置，否則無(wú)法利用 svn mv 命令將錯(cuò)誤的目錄更正。

anon-access 屬性對(duì)目錄權(quán)限的影響
你想將你的代碼庫(kù)開(kāi)放給所有人訪問(wèn)，于是你就開(kāi)放了匿名訪問(wèn)權(quán)限，在 svnserve.conf 文件中添加一行： anon-access=read ?？墒菍?duì)于部分目錄，你又不希望別人看到，于是針對(duì)那些特別目錄，你在 authz.conf 里面進(jìn)行配置，添加了授權(quán)訪問(wèn)的人，并添加了 * = 標(biāo)記。你認(rèn)為一切OK了，可是你缺發(fā)現(xiàn)，那個(gè)特別目錄卻無(wú)法訪問(wèn)了，總是提示 Not authorized to open root of edit operation 或者 未授權(quán)打開(kāi)根進(jìn)行編輯操作 。你再三檢查你配置的用戶(hù)名與密碼，確認(rèn)一切正確，還是無(wú)法解決問(wèn)題。

原來(lái)，Subversion 有個(gè)小 bug ，當(dāng) anon-access=read 并且某個(gè)目錄有被設(shè)置上 * = 標(biāo)記，則會(huì)出現(xiàn)上述問(wèn)題。這個(gè) bug 在當(dāng)前最新版本上（v1.4）還存在，也許在下一版本內(nèi)可以被改正吧。

解決的辦法是，在 svnserve.conf 中，將 anon-access 設(shè)置成 none 。

5   改進(jìn)5.1   對(duì)中文目錄的支持上午上班的時(shí)候，Morson 來(lái)到 Michael 的桌子前面，說(shuō)道：“你是否可以將我們的北京辦、上海辦目錄，改成用中文的，看著那些拼音我覺(jué)得很難受？” Michael 心想，還好這兩天剛了解了一些與 unicode 編碼相關(guān)的知識(shí)，于是微笑地回答：“當(dāng)然可以，你明天下午就可以看到中文目錄名稱(chēng)了。”

使用 svn mv 指令，將原來(lái)的一些目錄改名并 commit 入代碼庫(kù)，改名后的目錄結(jié)構(gòu)如下:

arm
├─工作日志
│  ├─總部人員
│  ├─北京辦
│  └─上海辦
├─公司公共文件參考目錄
└─臨時(shí)文件存放處

修改代碼庫(kù)的 authz.conf 文件，將相應(yīng)目錄逐一改名

UTF-8 格式的 authz.conf 文件，以及 BOM

將配置文件轉(zhuǎn)換成 UTF-8 格式之后，Subversion 就能夠正確識(shí)別中文字符了。但是這里需要注意一點(diǎn)，即必須保證 UTF-8 文件不包含 BOM 。BOM 是 Byte Order Mark 的縮寫(xiě)，指 UNICODE 文件頭部用于指明高低字節(jié)排列順序的幾個(gè)字符，通常是 FF FE ，而將之用 UTF-8 編碼之后，就是 EF BB BF 。由于 UTF-8 文件本身不存在字節(jié)序問(wèn)題，所以對(duì) UTF-16 等編碼方式有重大意義的 BOM，對(duì)于 UTF-8 來(lái)說(shuō)，只有一個(gè)作用——表明這個(gè)文件是 UTF-8 格式。由于 BOM 會(huì)給文本處理帶來(lái)很多難題，所以現(xiàn)在很多軟件都要求使用不帶 BOM 的 UTF-8 文件，特別是一些處理文本的軟件，如 PHP、 UNIX 腳本文件等，svn 也是如此。

目前常用的一些文本編輯工具中，MS Windows 自帶的“記事本”里面，“另存為”菜單保存出來(lái)的 UTF-8 格式文件，會(huì)自動(dòng)帶上 BOM 。新版本 UltraEdit 提供了選項(xiàng)，允許用戶(hù)選擇是否需要 BOM，而老版本的不會(huì)添加 BOM。請(qǐng)各位查看一下自己常用的編輯器的說(shuō)明文件，看看它是否支持這個(gè)功能。

對(duì)于已經(jīng)存在 BOM 的 UTF-8 文件，比如說(shuō)就是微軟“記事本”弄出來(lái)的，我們可以利用 UltraEdit 來(lái)將 BOM 去掉。方法是，首先利用“UTF-8 TO ASCII”菜單將文件轉(zhuǎn)換成本地編碼，通常是GB2312碼，然后再使用“ASCII TO UTF-8(UNICODE Editing)”來(lái)轉(zhuǎn)換到 UTF-8 即可。當(dāng)然，這么操作之前，你肯定得先保證，你的 UltraEdit 保存出來(lái)的 UTF-8 文件的確是不帶 BOM 的。

Subversion 為什么討厭 BOM 呢？我不知道，畢竟我也只是一個(gè)普通用戶(hù)，不是開(kāi)發(fā)人員。如果你感興趣，并且英文夠好的話(huà)，不妨參考一下這個(gè)討論： http://subversion./servlets/ReadMsg?list=users&msgNo=51334

6   參考文獻(xiàn)Subversion官方文檔， http://svnbook.
Subversion 1.3變更記錄， http://subversion./svn_1.3_releasenotes.html
Subversion FAQ， http://subversion./faq.html
UTF-8 常見(jiàn)問(wèn)題， http:///faq/utf_bom.html
7   歷史軌跡2006.06.04， v0.1
在 http:///bbs 首次發(fā)布
2006.07.07， v0.4
加入 www.woodpecker.org.cn 的 OBP 項(xiàng)目
2006.10.11， v0.5
修正部分錯(cuò)誤，調(diào)整部分章節(jié)順序
2006.12.05， v1.0
添加“權(quán)限簡(jiǎn)介”一節(jié)
調(diào)整“實(shí)戰(zhàn)”章的章節(jié)順序，添加一些說(shuō)明，使之更具可讀性
刪除一些與 apache 服務(wù)器相關(guān)的說(shuō)明
添加“目錄表示法”一小節(jié)
重寫(xiě)了“authz.conf 之項(xiàng)目子目錄”一小節(jié)