系统权限解决方案

我将系统权限理解成数据权限和操作权限。
数据权限一般在sql语句中处理，比如要查询一些数据，每个人只能看自己提交的数据，sql可以这么写select * from tablea where creator = :username。
但是，如果要某一个人，比如管理员，希望他能查询到所有人的数据呢？
这时，需要辅以操作权限来处理。

我创建了users、roles、op三张表，表users和表roles关联，表roles和表op关联。
表op是权限明细表，有roleid、opcode、opdesc、hasop四个字段，例如有这样几行数据，
1 1001 浏览全部数据 true
2 1001 浏览全部数据 false
假设角色admin的id是1，角色guest的id是2。

当用户登录时，通过用户找到用户所有角色，在表op中查出这些角色的所有权限（hasop等于true的），将这些权限放入到一个数组，并保存在session内。
创建一个方法boolean hasOp(String opcode)，输入一个opcode，然后在权限数组中查找是否存在，如果没有找到就返回false，如果找到就返回true。

现在，让拥有权限1001的用户能够看到所有数据，而其他人只能看自己创建的数据。
在代码中这样处理
if(hasOp("1001"))
    sql = "select * from tablea";
else
    sql = "select * from tablea where creator = :username";
这样数据权限基本就这样处理了，处理的过程集中在sql语句中，避免将不需要的数据查询出来。

操作权限，总是用hasOp(opcode)来判断，比如新增、修改、删除等，当然在修改或删除的sql语句中也可用hasOp(opcode)来做判断。

我用的Richfaces和JavaBean开发的B/S结构的应用程序。创建一个包含hasOp方法的类Login，将它的javabean属性设置成session。
在前台xhtml页面中，如果要判断某一操作时，用rendered="#{Login.hasOp('1001')}"。

这是我目前的解决方案，请大家赐教！