权限管理简说

权限管理需求

IT系统不断向前发展，企业对于IT信息系统的权限控制要求越来越严格。主要有以下几类：

1. 功能控制。比如允许某些用户使用某功能，访问某页面。拒绝某些用户使用某功能，访问某页面。
2. 更细粒度的控制。
   1. 数据行控制。同样的功能，不同用户访问的数据范围是不同的。比如总公司用户能查看所有客户资料；分公司用户只能查看本分公司及下属营业部客户资料；营业部用户只能查看本营业部客户资料。
   2. 数据列控制。同样的功能，不同用户访问的数据字段是不同的。比如总公司用户不能查看客户资料的联系电话和联系地址信息，可以查看客户其他字段信息；其他用户能查看客户的全部字段信息。
   3. 数据操作权限控制。比如银行ATM机器，不允许每天取款超过2万，单笔不超过5千；比如客户经理只能修改和删除自己开发的客户资料，不能修改其他客户经理开发的客户资料。
   4. 界面显示要素控制。比如显示自己开发的客户列表后面显示“修改”和“删除”按钮，否则不予显示。比如总公司用户登录，机构下拉框显示所有组织机构；分公司用户登录显示本分公司及下属营业部机构；营业部用户登录显示该营业部机构。

权限管理分类

 综合来说，可以把权限需求分类两大类：

1. 功能级权限；
2. 细粒度权限，又被称为数据级权限，内容级权限。这些权限根据登录用户、操作数据、当前环境等条件进行不同权限授权。可以分为：
   1. 查询权限；返回用户具有权限查询的数据。数据行控制，数据列控制，都属于查询权限。部分界面显示要素控制，属于查询权限。比如下拉框显示组织机构，可以先返回用户具有权限的机构，然后填写下拉框内容。
   2. 决策权限；返回用户是否具有某权限，如果不具备该权限，并告知拒绝理由。数据操作权限控制，部分界面显示要素控制都属于决策权限。ATM先判断用户是否具有该取款额的权限，然后根据结果吐钱。界面先判断用户是否具有“修改”和“删除”该客户的权限，然后根据结果显示按钮或者不显示按钮。

如何在IT系统实现权限管理

功能级权限控制，采用目前的角色策略即可。如下图所示： 

（图1：角色授权策略）

 

数据级权限控制，大多系统采用硬编码模式实现，在程序里面做各种判断。如下图所示：

（图2：硬编码模式实现细粒度权限控制）

 

有些优秀企业做了杰出创造，使用配置模式，或者采用部分编程＋部分配置模式实现。

有些优秀企业做了杰出创造，采用在二次开发平台上，进行相关配置，然后生成带有权限的代码，将这些代码随同应用一起发布。

 

目前业内有一个非常牛气的规范：OASIS组织制定的XACML（eXtensible Access Control Markup Language） 规范。该规范非常强大，同时也难懂，实施难度大。

Oracle Entitlement Server和IBM Tivoli Access Manager都是基于该规范开发的产品。

Metadmin Access Manager是基于策略模型开发的产品。

 

怎样改进创新

 待续......

评论

2 楼 metadmin 2009-03-30  

所以说：sql部分也要灵活，需要接受参数，不能写死。

比如分公司用户_sql，需要传入参数（当前用户的机构号）。



权限系统最好不去伤害已有系统，可以和已有系统并存。已有部分采用原有的权限模式，新的部分采用新的权限模式。
目前Metadmin是这样做的。

1 楼 suifeng 2009-03-30  

方法很独特 : 为每类用户定制sql.
这个和我曾经想到的[去掉判断]的方法有异曲同工之处:

判读的方式:
If ( 总公司用户){
    查询全公司数据
} Else If ( 分公司用户) {
    查询该分公司以及下属营业部数据
} Else If ( 营业部用户) {
    查询该营业部数据
}

去掉判断后的方式:

Map map = new HashMap();
map.put("公司用户", "公司用户_sql");
map.put("分公司用户", "分公司用户_sql");
map.put("营业部用户", "营业部用户_sql");

Metadmin权限引擎.执行(map.get(用户类别));

这些技巧其实都来源于:人机如何分工的问题.
if/else_if/else 这是人工处理
map 这是机器去 (if/else_if/els) 处理.
这些操作只要规范了, 都可以让机器去处理;
现实系统中很难规范, 除非是开发全新的系统,
如果是遗留的系统, 再好的处理方式, 都显得苍白无力.