幾篇不錯(cuò)的權(quán)限管理系統(tǒng)講述
1.講的很詳細(xì)
http://www.cnblogs.com/Gavinzhao/archive/2009/11/10/1599691.html
實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)中的用戶權(quán)限管理--設(shè)計(jì)篇
B/S系統(tǒng)中的權(quán)限比C/S中的更顯的重要,C/S系統(tǒng)因?yàn)榫哂刑厥獾目蛻舳?��,所以訪問用戶的權(quán)限檢測(cè)可以通過客戶端實(shí)現(xiàn)或通過客戶端+服務(wù)器檢測(cè)實(shí)現(xiàn)�,而B/S中�,瀏覽器是每一臺(tái)計(jì)算機(jī)都已具備的,如果不建立一個(gè)完整的權(quán)限檢測(cè)����,那么一個(gè)“非法用戶”很可能就能通過瀏覽器輕易訪問到B/S系統(tǒng)中的所有功能����。因此B/S業(yè)務(wù)系統(tǒng)都需要有一個(gè)或多個(gè)權(quán)限系統(tǒng)來實(shí)現(xiàn)訪問權(quán)限檢測(cè)���,讓經(jīng)過授權(quán)的用戶可以正常合法的使用已授權(quán)功能���,而對(duì)那些未經(jīng)授權(quán)的“非法用戶”將會(huì)將他們徹底的“拒之門外”���。下面就讓我們一起了解一下如何設(shè)計(jì)可以滿足大部分B/S系統(tǒng)中對(duì)用戶功能權(quán)限控制的權(quán)限系統(tǒng)���。
需求陳述不同職責(zé)的人員���,對(duì)于系統(tǒng)操作的權(quán)限應(yīng)該是不同的���。優(yōu)秀的業(yè)務(wù)系統(tǒng)����,這是最基本的功能����。
-
- 可以對(duì)“組”進(jìn)行權(quán)限分配。對(duì)于一個(gè)大企業(yè)的業(yè)務(wù)系統(tǒng)來說���,如果要求管理員為其下員工逐一分配系統(tǒng)操作權(quán)限的話,是件耗時(shí)且不夠方便的事情���。所以,系統(tǒng)中就提出了對(duì)“組”進(jìn)行操作的概念���,將權(quán)限一致的人員編入同一組,然后對(duì)該組進(jìn)行權(quán)限分配�。
- 權(quán)限管理系統(tǒng)應(yīng)該是可擴(kuò)展的�。它應(yīng)該可以加入到任何帶有權(quán)限管理功能的系統(tǒng)中�。就像是組件一樣的可以被不斷的重用,而不是每開發(fā)一套管理系統(tǒng)�,就要針對(duì)權(quán)限管理部分進(jìn)行重新開發(fā)���。
- 滿足業(yè)務(wù)系統(tǒng)中的功能權(quán)限���。傳統(tǒng)業(yè)務(wù)系統(tǒng)中���,存在著兩種權(quán)限管理���,其一是功能權(quán)限的管理���,而另外一種則是資源權(quán)限的管理,在不同系統(tǒng)之間����,功能權(quán)限是可以重用的����,而資源權(quán)限則不能。
關(guān)于設(shè)計(jì)
借助NoahWeb的動(dòng)作編程理念����,在設(shè)計(jì)階段���,系統(tǒng)設(shè)計(jì)人員無須考慮程序結(jié)構(gòu)的設(shè)計(jì)���,而是從程序流程以及數(shù)據(jù)庫結(jié)構(gòu)開始入手���。為了實(shí)現(xiàn)需求�,數(shù)據(jù)庫的設(shè)計(jì)可謂及其重要����,無論是“組”操作的概念,還是整套權(quán)限管理系統(tǒng)的重用性,都在于數(shù)據(jù)庫的設(shè)計(jì)����。
我們先來分析一下數(shù)據(jù)庫結(jié)構(gòu):
首先����,action表(以下簡(jiǎn)稱為“權(quán)限表”)�,gorupmanager表(以下簡(jiǎn)稱為“管理組表”),以及master表(以下簡(jiǎn)稱為“人員表”)����,是三張實(shí)體表�,它們依次記錄著“權(quán)限”的信息���,“管理組”的信息和“人員”的信息�。如下圖:
這三個(gè)表之間的關(guān)系是多對(duì)多的���,一個(gè)權(quán)限可能同時(shí)屬于多個(gè)管理組���,一個(gè)管理組中也可能同時(shí)包含多個(gè)權(quán)限����。同樣的道理,一個(gè)人員可能同時(shí)屬于多個(gè)管理組����,而一個(gè)管理組中也可能同時(shí)包含多個(gè)人員����。如下圖:
由于這三張表之間存在著多對(duì)多的關(guān)系�,那么它們之間的交互,最好使用另外兩張表來完成�。而這兩張表起著映射的作用�,分別是“actiongroup”表(以下簡(jiǎn)稱“權(quán)限映射表”)和“mastergroup”表(以下簡(jiǎn)稱“人員映射表”)����,前者映射了權(quán)限表與管理組表之間的交互。后者映射了人員表與管理組表之間的交互���。如下圖:
另外,還需要一張表來控制系統(tǒng)運(yùn)行時(shí)左側(cè)菜單中的權(quán)限分欄�,也就是“權(quán)限分欄表”���,如下圖:
根據(jù)上面的分析���,我們進(jìn)行數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì),如下圖:
為了能夠進(jìn)行良好的分析,我們將數(shù)據(jù)庫結(jié)構(gòu)圖拆分開來���,三張實(shí)體表的作用已經(jīng)很清晰,現(xiàn)在我們來看一下兩張映射表的作用。
一權(quán)限映射表如下圖:
首先,我們來了解一下權(quán)限映射表與管理組表以及權(quán)限表之間的字段關(guān)聯(lián)����。
看圖中的紅圈���,先看gorupid字段相關(guān)聯(lián)���,這種關(guān)聯(lián)方式在實(shí)際數(shù)據(jù)庫中的表現(xiàn)如下圖:
如圖中所示����,管理組表中“超級(jí)管理員”的groupid為1�,那么權(quán)限映射表中groupid為1的權(quán)限也就是“超級(jí)管理員”所擁有的權(quán)限����。
使用groupid字段關(guān)聯(lián),是為了查到一個(gè)管理組能夠執(zhí)行的權(quán)限有哪些���。但這些權(quán)限的詳細(xì)信息卻是action字段關(guān)聯(lián)所查詢到的。
action字段相關(guān)聯(lián)在數(shù)據(jù)庫中的表現(xiàn)如下圖:
通過這種關(guān)聯(lián)�,才查詢到權(quán)限映射表之中那些權(quán)限的詳細(xì)信息����。綜合起來�,我們就知道了一個(gè)管理組可以執(zhí)行的權(quán)限有哪些,以及這些權(quán)限的詳細(xì)信息是什么����。
或許你會(huì)問����,為什么不使用actionid字段相關(guān)聯(lián)呢����?因?yàn)椋?/span>
- 權(quán)限表中的id字段在經(jīng)過多次的數(shù)據(jù)庫操作之后可能會(huì)發(fā)生更改����。
- 權(quán)限映射表中僅僅記錄著一個(gè)管理組可以執(zhí)行的權(quán)限。
- 一旦權(quán)限表中的id更改�,那么權(quán)限映射表中的記錄也就更改了�。
- 一個(gè)管理組可以執(zhí)行的權(quán)限勢(shì)必將出錯(cuò)���,這是非常不希望的����。
考慮到上面的情況,所以應(yīng)該使用action字段相關(guān)聯(lián),因?yàn)椋?/span>
- 在權(quán)限表中����,id可能發(fā)生變化����,而action字段卻是在任何情況下也不可能發(fā)生變化的���。
- 權(quán)限映射表中記錄的action字段也就不會(huì)變�。
- 一個(gè)管理組可以執(zhí)行的權(quán)限就不會(huì)出錯(cuò)了。
二人員映射表如下圖:
我們來了解一下人員映射表與管理組表以及人員表之間的字段關(guān)聯(lián)�,如下圖:
看圖中的紅圈部分����,先看groupid字段關(guān)聯(lián)���,這種關(guān)聯(lián)方式在數(shù)據(jù)庫中的表現(xiàn)如下圖:
如圖���,“超級(jí)管理員”組的groupid為1���,我們?cè)倏?/span>人員映射表�,admin屬于超級(jí)管理員組����,而administrator屬于超級(jí)管理員組,同時(shí)也屬于管理員組�。
使用這種關(guān)聯(lián)方式����,是為了查到一個(gè)管理組中的人員有誰。和上面一樣�,人員的詳細(xì)信息是靠id字段(人員映射表中是masterid字段)關(guān)聯(lián)查詢到的���。
id字段(人員映射表中是masterid字段)關(guān)聯(lián)表現(xiàn)在數(shù)據(jù)庫中的形式如下圖:
一個(gè)人員可能同時(shí)屬于多個(gè)“管理組”���,如圖中����,administrator就同時(shí)屬于兩個(gè)“管理組”�。所以,在人員映射表中關(guān)于administrator的記錄就會(huì)是兩條�。
這種關(guān)聯(lián)方式才查詢到管理組中人員的詳細(xì)信息有哪些���。綜合起來����,才可以知道一個(gè)管理組中的人員有誰���,以及這個(gè)人員的詳細(xì)信息�。
再結(jié)合上面談到的權(quán)限表和權(quán)限映射表�,就實(shí)現(xiàn)了需求中的“組”操作,如下圖:
其實(shí)�,管理組表中僅僅記錄著組的基本信息����,如名稱����,組id等等。至于一個(gè)組中人員的詳細(xì)信息����,以及該組能夠執(zhí)行的權(quán)限的詳細(xì)信息���,都記錄在人員表和權(quán)限表中����。兩張映射表才真正記錄著一個(gè)組有哪些人員����,能夠執(zhí)行哪些權(quán)限。通過兩張映射表的銜接���,三張實(shí)體表之間的交互才得以實(shí)現(xiàn),從而完成了需求中提到的“組”操作���。
我們?cè)賮砜匆幌?/span>權(quán)限分欄表與權(quán)限表之間的交互。這兩張表之間的字段關(guān)聯(lián)如下圖:
兩張表使用了actioncolumnid字段相關(guān)聯(lián),這種關(guān)聯(lián)方式在數(shù)據(jù)庫中的表現(xiàn)如下圖:
如圖所示����,通過這種關(guān)聯(lián)方式�,我們可以非常清晰的看到權(quán)限表中的權(quán)限屬于哪個(gè)分欄����。
現(xiàn)在����,數(shù)據(jù)庫結(jié)構(gòu)已經(jīng)很清晰了,分配權(quán)限的功能以及“組”操作都已經(jīng)實(shí)現(xiàn)。下面我們?cè)賮矸治鲆幌滦枨笾刑岬降年P(guān)于權(quán)限管理系統(tǒng)的重用性問題���。
為什么使用這種數(shù)據(jù)庫設(shè)計(jì)方式搭建起來的系統(tǒng)可以重用呢?
- 三張實(shí)體表中記錄著系統(tǒng)中的三個(gè)決定性元素。“權(quán)限”,“組”和“人”。而這三種元素可以任意添加,彼此之間不受影響。無論是那種類型的業(yè)務(wù)系統(tǒng)����,這三個(gè)決定性元素是不會(huì)變的���,也就意味著結(jié)構(gòu)上不會(huì)變���,而變的僅僅是數(shù)據(jù)�。
- 兩張映射表中記錄著三個(gè)元素之間的關(guān)系����。但這些關(guān)系完全是人為創(chuàng)建的����,需要變化的時(shí)候���,只是對(duì)數(shù)據(jù)庫中的記錄進(jìn)行操作���,無需改動(dòng)結(jié)構(gòu)���。
- 權(quán)限分欄表中記錄著系統(tǒng)使用時(shí)顯示的分欄���。無論是要添加分欄����,修改分欄還是減少分欄����,也只不過是操作記錄而已。
綜上所述,這樣設(shè)計(jì)數(shù)據(jù)庫,系統(tǒng)是完全可以重用的���,并且經(jīng)受得住“變更”考驗(yàn)的。
總結(jié):
此套系統(tǒng)的重點(diǎn)在于���,三張實(shí)體表牢牢地抓住了系統(tǒng)的核心成分,而兩張映射表完美地映射出三張實(shí)體表之間的交互���。其難點(diǎn)在于,理解映射表的工作���,它記錄著關(guān)系,并且實(shí)現(xiàn)了“組”操作的概念�。而系統(tǒng)總體的設(shè)計(jì)是本著可以在不同的MIS系統(tǒng)中“重用”來滿足不同系統(tǒng)的功能權(quán)限設(shè)置����。
附錄:
權(quán)限管理系統(tǒng)數(shù)據(jù)表的字段設(shè)計(jì)
下面我們來看看權(quán)限管理系統(tǒng)的數(shù)據(jù)庫表設(shè)計(jì)�,共分為六張表,如下圖:
action表:
action表中記錄著系統(tǒng)中所有的動(dòng)作���,以及動(dòng)作相關(guān)描述。
actioncolumn表:
actioncolumn表中記錄著動(dòng)作的分欄�,系統(tǒng)運(yùn)行時(shí)���,左側(cè)菜單欄提供了幾塊不同的功能�,每一塊就是一個(gè)分欄���,每添加一個(gè)分欄�,該表中的記錄就會(huì)增加一條,相對(duì)應(yīng)的,左側(cè)菜單欄中也會(huì)新增機(jī)一個(gè)欄����。
actiongroup表:
actiongroup表記錄著動(dòng)作所在的組。
groupmanager表:
groupmanager表記錄著管理組的相關(guān)信息����,每添加一個(gè)管理組����,這里的記錄就會(huì)增加一條����。
mastergroup表:
mastergroup表記錄著管理員所在的管理組,由于一名管理員可能同同時(shí)屬于多個(gè)組����,所以該表中關(guān)于某一名管理員的記錄可能有多條�。
master表:
master表記錄著所有管理員的信息����,每添加一個(gè)管理員,該表就會(huì)增加一條記錄����。
2.觀點(diǎn)很好
http://www.cnblogs.com/leoxie2011/archive/2011/05/19/2050626.html
一�,前言
權(quán)限管理系統(tǒng)的應(yīng)用者應(yīng)該有三種不同性質(zhì)上的使用�,
A,使用權(quán)限
B,分配權(quán)限
C,授權(quán)權(quán)限
本文只從《使用權(quán)限》和《分配權(quán)限》這兩種應(yīng)用層面分析���,暫時(shí)不考慮《授權(quán)權(quán)限》這種����。
二����,初步分析
用戶和角色
說到權(quán)限管理���,首先應(yīng)該想到����,當(dāng)然要設(shè)計(jì)一個(gè)用戶表,一個(gè)權(quán)限表�。這樣就決定了一個(gè)人有什么樣的權(quán)限���。
做著做著就會(huì)發(fā)現(xiàn)這樣設(shè)計(jì)太過繁瑣����,如果公司里面所有員工都有這樣的權(quán)限呢����,每一個(gè)人都要配置?那是一件很痛苦的事情。因此再添加一個(gè)角色表�,把某些人歸為一類�,然后再把權(quán)限分配給角色���。角色屬下的用戶也就擁有了權(quán)限����。
用戶、角色之間的關(guān)系是一個(gè)用戶可以對(duì)應(yīng)多個(gè)角色����,一個(gè)角色可以對(duì)應(yīng)多個(gè)用戶����。多對(duì)多關(guān)系����。
所以需要一個(gè)中間表���,相信大家都很熟悉�,自然不會(huì)有疑問。
應(yīng)用場(chǎng)景
有了用戶和角色以后����,就需要設(shè)計(jì)應(yīng)用場(chǎng)景���,比如一個(gè)應(yīng)用程序有幾大模塊(系統(tǒng)模塊���、項(xiàng)目管理模塊����、銷售模塊)�,
類似這樣的模塊就是一種應(yīng)用場(chǎng)景,常見的還有 菜單 ���、 操作 等等。
假設(shè)現(xiàn)在我們?cè)O(shè)計(jì)好了,應(yīng)用場(chǎng)景包括 模塊����、菜單�、和操作����,那么應(yīng)該有以下六種關(guān)系
- 一個(gè)用戶可以對(duì)應(yīng)多個(gè)模塊,一個(gè)模塊可以對(duì)應(yīng)多個(gè)用戶。多對(duì)多關(guān)系。
- 一個(gè)用戶可以對(duì)應(yīng)多個(gè)菜單�,一個(gè)菜單可以對(duì)應(yīng)多個(gè)用戶����。多對(duì)多關(guān)系。
- 一個(gè)用戶可以對(duì)應(yīng)多個(gè)操作,一個(gè)操作可以對(duì)應(yīng)多個(gè)用戶。多對(duì)多關(guān)系。
- 一個(gè)角色可以對(duì)應(yīng)多個(gè)模塊,一個(gè)模塊可以對(duì)應(yīng)多個(gè)角色。多對(duì)多關(guān)系�。
- 一個(gè)角色可以對(duì)應(yīng)多個(gè)菜單���,一個(gè)菜單可以對(duì)應(yīng)多個(gè)角色。多對(duì)多關(guān)系���。
- 一個(gè)角色可以對(duì)應(yīng)多個(gè)操作,一個(gè)操作可以對(duì)應(yīng)多個(gè)角色���。多對(duì)多關(guān)系。
于是建立六張表來維護(hù)這六種關(guān)系���。
這樣設(shè)計(jì)看起來沒什么問題。是的���,如果沒有加入新的關(guān)系的話,這樣是已經(jīng)可以滿足大部分的需求了���。可是如果就是如果����,新的關(guān)系(需求)往往會(huì)加入到系統(tǒng)進(jìn)來���。這個(gè)時(shí)候就需要再建立一個(gè)新的表�。系統(tǒng)的復(fù)雜度也隨著增加����。
可以看出,這樣的設(shè)計(jì)有幾個(gè)問題:
- 數(shù)據(jù)表設(shè)計(jì)太復(fù)雜
- 應(yīng)對(duì)系統(tǒng)方案過于固定
三�,把問題簡(jiǎn)單化
不同的應(yīng)用場(chǎng)合���,你可能會(huì)想出不同的需求�,提了一個(gè)新的需求以后�,可能會(huì)發(fā)現(xiàn)原來的設(shè)計(jì)沒方法實(shí)現(xiàn)了,于是還要添加一個(gè)新的表����。這也是上面所提到的問題。
其實(shí)不必想得那么復(fù)雜�,權(quán)限可以簡(jiǎn)單描述為:
某某主體 在 某某領(lǐng)域 有 某某權(quán)限
1���,主體可以是用戶�,可以是角色����,也可以是一個(gè)部門
2, 領(lǐng)域可以是一個(gè)模塊�,可以是一個(gè)頁面���,也可以是頁面上的按鈕
3���, 權(quán)限可以是“可見”���,可以是“只讀”����,也可以是“可用”(如按鈕可以點(diǎn)擊)
其實(shí)就是Who���、What���、How的問題
因此上面所提到的六張表其實(shí)可以設(shè)計(jì)一張表:
四���,實(shí)例說明
下面用一個(gè)例子做設(shè)計(jì)說明���。“用戶����、角色在頁面上的是使用權(quán)限”
詳細(xì)設(shè)計(jì):
1�,把菜單的配置放在數(shù)據(jù)庫上,每一個(gè)菜單對(duì)于一個(gè)唯一的編碼MenuNo����,每一個(gè)“葉節(jié)點(diǎn)”的菜單項(xiàng)對(duì)于一個(gè)頁面(url)�。
2,把按鈕的配置放在數(shù)據(jù)庫上,并歸屬于一個(gè)菜單項(xiàng)上(其實(shí)就是掛在某一個(gè)頁面上)����。應(yīng)該一個(gè)頁面可能會(huì)有幾個(gè)按鈕組���,比如說有兩個(gè)列表���,這兩個(gè)列表都需要有“增加���、修改����、刪除”�。所以需要增加一個(gè)按鈕分組的字段來區(qū)分。
3,把菜單權(quán)限分配給用戶/角色�,PrivilegeMaster為"User"或"Role",PrivilegeMasterValue為UserID或RoleID,PrivilegeAccess為“Menu",PrivilegeAccessValue為MenuNo,PrivilegeOperation為"enabled"
4,把按鈕權(quán)限分配給用戶/角色�,PrivilegeMaster為"User"或"Role",PrivilegeMasterValue為UserID或RoleID,PrivilegeAccess為“Button",PrivilegeAccessValue為BtnID,PrivilegeOperation為"enabled"
5,如果需要禁止單個(gè)用戶的權(quán)限����,PrivilegeOperation 設(shè)置為"disabled"。
如果不清楚的可以看下圖:
數(shù)據(jù)庫設(shè)計(jì):
四,結(jié)語
說了這么多,其實(shí)我推薦的只是Privilege的表設(shè)計(jì)。這個(gè)表是who���、what、how問題原型的設(shè)計(jì)。不僅擴(kuò)展性����、靈活性都很好����,而且將復(fù)雜的權(quán)限管理系統(tǒng)濃縮成一句話���。
而PrivilegeOperation不僅僅只是使用和禁止兩種�,包括分配權(quán)限�、授權(quán)權(quán)限,都可以用這個(gè)字段定義���。只是這無疑加大了應(yīng)用程序的設(shè)計(jì)難度,但是對(duì)于表設(shè)計(jì)可以不做出任何的修改就可以完成,可以看出其靈活性����。