通用权限管理设计 之功能权限
C,授权权限
本文只从《使用权限》和《分配权限》这两种应用层面分析,暂时不考虑《授权权限》这种。
二,初步分析 用户和角色说到权限管理,首先应该想到,当然要设计一个用户表,一个权限表。这样就决定了一个人有什么样的权限。
做着做着就会发现这样设计太过繁琐,如果公司里面所有员工都有这样的权限呢,每一个人都要配置?那是一件很痛苦的事情。因此再添加一个角色表,把某些人归为一类,然后再把权限分配给角色。角色属下的用户也就拥有了权限。
用户、角色之间的关系是一个用户可以对应多个角色,一个角色可以对应多个用户。多对多关系。
所以需要一个中间表,相信大家都很熟悉,自然不会有疑问。
应用场景有了用户和角色以后,就需要设计应用场景,比如一个应用程序有几大模块(系统模块、项目管理模块、销售模块),
类似这样的模块就是一种应用场景,常见的还有 菜单 、 操作 等等。
假设现在我们设计好了,应用场景包括 模块、菜单、和操作,那么应该有以下六种关系
一个用户可以对应多个模块,一个模块可以对应多个用户。多对多关系。 一个用户可以对应多个菜单,一个菜单可以对应多个用户。多对多关系。 一个用户可以对应多个操作,一个操作可以对应多个用户。多对多关系。 一个角色可以对应多个模块,一个模块可以对应多个角色。多对多关系。 一个角色可以对应多个菜单,一个菜单可以对应多个角色。多对多关系。 一个角色可以对应多个操作,一个操作可以对应多个角色。多对多关系。
于是建立六张表来维护这六种关系。
这样设计看起来没什么问题。是的,如果没有加入新的关系的话,这样是已经可以满足大部分的需求了。可是如果就是如果,新的关系(需求)往往会加入到系统进来。这个时候就需要再建立一个新的表。系统的复杂度也随着增加。
可以看出,这样的设计有几个问题:
数据表设计太复杂 应对系统方案过于固定不同的应用场合,你可能会想出不同的需求,提了一个新的需求以后,可能会发现原来的设计没方法实现了,于是还要添加一个新的表。这也是上面所提到的问题。
其实不必想得那么复杂,权限可以简单描述为:
某某主体 在 某某领域 有 某某权限
1,主体可以是用户,可以是角色,也可以是一个部门
2, 领域可以是一个模块,可以是一个页面,也可以是页面上的按钮
3, 权限可以是“可见”,可以是“只读”,也可以是“可用”(如按钮可以点击)
其实就是Who、What、How的问题
因此上面所提到的六张表其实可以设计一张表:Privilege
四,实例说明
下面用一个例子做设计说明。“用户、角色在页面上的是使用权限”
详细设计:
1,把菜单的配置放在数据库上,每一个菜单对于一个唯一的编码MenuNo,每一个“叶节点”的菜单项对于一个页面(url)。
2,把按钮的配置放在数据库上,并归属于一个菜单项上(其实就是挂在某一个页面上)。应该一个页面可能会有几个按钮组,比如说有两个列表,这两个列表都需要有“增加、修改、删除”。所以需要增加一个按钮分组的字段来区分。
3, 把菜单权限分配给用户/角色,PrivilegeMaster为"User"或"Role",PrivilegeMasterValue为UserID或 RoleID,PrivilegeAccess为“Menu",PrivilegeAccessValue为 MenuNo,PrivilegeOperation为"enabled"
4,把按钮权限分配给用户/角 色,PrivilegeMaster为"User"或"Role",PrivilegeMasterValue为UserID或 RoleID,PrivilegeAccess为“Button",PrivilegeAccessValue为 BtnID,PrivilegeOperation为"enabled"
5,如果需要禁止单个用户的权限,PrivilegeOperation 设置为"disabled"。
如果不清楚的可以看下图:
数据库设计:
说了这么多,其实我推荐的只是Privilege的表设计。这个表是who、what、how问题原型的设计。不仅扩展性、灵活性都很好,而且将复杂的权限管理系统浓缩成一句话。
而PrivilegeOperation不仅仅只是使用和禁止两种,包括分配权限、授权权限,都可以用这个字段定义。只是这无疑加大了应用程序的设计难度,但是对于表设计可以不做出任何的修改就可以完成,可以看出其灵活性。
权限管理系统,可以这么设计 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。对权限做管理的系统,就是权限管理系统。
如何设计一个完美的权限管理模块? 我们比较常见的就是基于角色的访问控制,用户通过角色与权限进行关联。简单地说,一个用户拥有多个角色,一个角色拥有多个权限。
查看上篇文章通用数据级别权限的框架设计(1)-相关业务场景的分析 ,我们要继续做一些准备工作。 我们先要设置当前用户信息的类
相关文章
- bat cmd批处理命令获取管理员权限&重启、停用windows服务
- 窥探Swift之类的继承与类的访问权限
- 扩展RBAC用户角色权限设计方案
- 项目中处理android 6.0权限管理问题
- spring boot:spring security用mysql实现动态权限管理(spring boot 2.3.3)
- 各种RTMP直播流播放权限_音视频_数据花屏_问题检测与分析工具EasyRTMPClient
- MySQL 如何快速复制用户权限到其他环境
- jenkins pipeline、用户权限管理、插件下载地址更改、凭证管理、自由风格项目构建、maven项目构建、常用的构建触发器、邮件发送、SonarQube代码审查
- SAP CRM的状态管理和权限控制的集成
- 数据库安全风险行为 目录 1. 数据库安全风险行为2 1.1. Sql注入SQLi)攻击行为2 1.2. . 过多的、不适当的和未使用的特权2 1.3. 2. 权限滥用(数据库系统管理员和开
- 如何为部署到 SAP BTP 平台上的 Node.js 应用提供Authorization 和 Trust 管理 - 权限管控
- umask函数的使用方法 - 怎样进行权限位的设置
- 【Linux 内核 内存管理】内存管理系统调用 ① ( mmap 创建内存映射 | munmap 删除内存映射 | mprotect 设置虚拟内存区域访问权限 )
- android:sharedUserId 获取系统权限
- Jenkins基于角色的项目权限管理
- 开发thinkphp的第一步就是给Application目录(不包括其下的文件)777权限, 关闭selinux
- 14.第四章 Linux用户、组和权限管理 -- 文件权限管理、Linux文件系统上的特殊权限(二)
- 13.第四章 Linux用户、组和权限管理 -- Linux 安全模型、用户和组、文件权限管理(一)
- 【视频分享】Liger UI实战集智建筑project管理系统配商业代码(打印报表、角色式权限管理)
- 禅道----禅道----新增权限分组
- 常用命令大全(权限管理命令)