RBAC模型

这可以从面向对象的角度考虑，角色是操作权限的集合，所有的服务器上的东西都可以看成资源，访问需要权限。说到具体的，就是用户管理，管理员管理等等。 用户与角色，角色与权限都是多对多的关系，现在一般都利用中间表建立关系，外键关系。 用户，角色，权限（或者是菜单）的控制，用户集合，角色集合，权限集合.用户集是使用该系统的用户的集合。角色集是该系统中角色的集合。用户角色就形成了用户到角色集合的映射。 在为用户指定角色时候，要坚持责任分开原则。要充分考虑角色集的子集，哪些 角色子集是被允许的，哪些角色子集是禁止的。禁止的角色子集不能分配给用户，这 样可以保证系统的安全。根据用户要行使的权限，分配最小的角色集给用户。角色集合是我们业务需要整理分析的，可以整理成树形结构，表示层次关系，上下级关系。 约束条件中应该包含的内容有 1)用户是否可以拥有多个角色; 2)若是可以分配多个角色，检测多个角色间是否存在互斥; 3)用户拥有的角色是否有时间限制; 4)用户分配角色时是否要经过其他角色的认可，方可生效。 用户登陆的时候得到角色，把角色保存在SESSION中。用户在访问对象时，首先从本地机上得到角色，再根据角色来看用户提出的访问要求是否合法。少一次对数据库的查询操作，可以加快访问速度。这里的角色封装了权限集合。 user绑定到角色，一下子得到他的权限，这样虽然无法做到实时性（修改该用户的权限，也许无法立即得到反映），但是确实是减轻了了数据库的负担