权限管理中关于如何来设计的问题?可以转换为用户、角色、资源的设计,至多还可以配置一个用户组的概念。
前言
权限的设计是为了满足系统在不同的用户在使用过程中,系统呈现给使用用户的资源(界面、功能等统称为资源)对于权限不同的用户是不一样的。
权限:可分为数据权限、资源权限。
数据权限:用户A只能查看属于用户A的数据。例如:用户A登录某电商网站后,只能查看属于自己的订单记录,无权查看其它用户的订单。
资源权限:用户A只能查看属于用户A对应权限的的文件、界面、按钮、表单。例如:普通用户是登录系统之后,无法查看系统管理界面的界面。
用户:囊括未注册,注册的用户。需要注意的是,很多时候都忽略这样一个情况,泛泛来讲就是只要是访问系统的主题均为用户。
对象:系统中可以被用户的访问的资源。例如:系统中按钮、表单、文件、功能等。
用户组:拥有共同角色的一类用户,例如学生。这个的存在省去了权限系统为每位用户逐一授权的繁琐过程,当然也增加了编程和开发的难度。
角色:拥有某些特定权限的。例如:管理员、超级管理员等。
无论是哪种的权限设计,大多是根据这几个实体以及实体之间的关系来分配权限、授权用户、分配角色。
RBAC96模型
RBAC(Role_Base_Authority_Control),主要是围绕role来展开的,相比于传统设计,减少了用户和权限之间的耦合;并且对于权限扩展相对比较灵活;另外支持多管理员的分布式管理。最基本的RBAC设计是最为简单权限设计,下图为该设计的图解。
图中,最基本的三元素:用户、角色、权限。较为通用,能够适应最为基本的权限需求。
1.用户和角色是多对多的关系。一个用户可以对应多个角色,一个角色同样可以赋给多个用户。
el:项目开发过程中,员工A可以是项目组长,也可以为开发者。同样对于开发者这样一个角色的员工,也会存在多个。
2.角色和权限同为多对多关系。一个角色可以被赋值多个权限,同种权限也可以赋给多种角色。
el:论坛系统中管理员可以管理论坛的模块的权限,可以管理论坛内评论的权限。同样管理论坛这样一个权限,也存在于管理员和超级管理员这样的角色。
以上为最为基本的RBAC96模型权限设计,RBAC1和RBAC2、RBAC3都是基于RBAC0的基础上去增加了一系列的规则来更加丰富和完善权限设计。
RBAC1:在RBAC0的基础上,增加了角色继承的补充。也就是角色之间存在上下级的关系,对应到实体设计中也就是角色实体的自身关联。体现在设计中,角色应该呈现树形结构。
RBAC2:RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。
强制性规则分为 职责分离约束(SOD)、预请求约束、基数约束。
RBAC3:则是在结合RBAC1和RBAC2的基础上,综合的角色访问控制模型。
如图:基本的RBAC模型,而RBAC96模型中,会话则是针对用户以及角色来授权或者称为激活权限。可以发现,用户以及用户组、权限这几个实体都是围绕着角色来展开的。而其中这些模型的分类都是在RBAC0的基础上做出的完善。
如图user和usergroup为多对多的关系,user和role为多对多关系,usergroup和role为多对多的关系,role和application也应为多对多的关系,图中没有显示。
在实际设计的过程中,在RBAC的基础上还会根据具体的需求来穿插着关于权限的一些设计原则,如:最小权限设计原则,职责分离原则。
资料参考:
http://www.cnblogs.com/couhujia/archive/2010/09/13/1824605.html
http://www.cnblogs.com/leoxie2011/archive/2011/05/19/2050626.html
最小权限原则:http://www.doc88.com/p-770492289780.html
静态职责分离:http://www.doc88.com/p-2344397074391.html
原文地址:http://blog.csdn.net/cfl20121314/article/details/45618543