完全脱离繁琐的acegi，自己设计一套权限控制

贴表结构

用户表
CREATE TABLE `users` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(100) NOT NULL,
  `fast` int(10) NOT NULL DEFAULT '0',
  `loginname` varchar(100) NOT NULL,
  `loginpass` varchar(100) DEFAULT NULL,
  `importuserid` int(255) DEFAULT NULL COMMENT '创建人',
  `importdate` datetime DEFAULT NULL COMMENT '创建时间',
  PRIMARY KEY (`id`)
)

角色表
CREATE TABLE `role` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `groupname` varchar(100) NOT NULL,
  `fast` int(11) NOT NULL DEFAULT '0',
  `importdate` datetime NOT NULL,
  `importuserid` int(11) NOT NULL ，
  PRIMARY KEY (`id`)
)


角色和用户关联表
CREATE TABLE `roleanduser` (
  `groupid` int(11) NOT NULL,
  `userid` int(11) NOT NULL
)

角色权限关联表
CREATE TABLE `roleandright` (
  `groupid` int(10) NOT NULL,
  `rightid` int(10) NOT NULL
)

权限表
CREATE TABLE `right` (
  `id` int(10) NOT NULL,
  `rightpath` varchar(200) NOT NULL,
  `isShow` int(11) NOT NULL DEFAULT '0' COMMENT '1表示不显示0表示显示',
  `importdate` datetime NOT NULL,
  `importuserid` int(10) NOT NULL,
  `coding` int(11) DEFAULT NULL,
  `isLeaf` int(11) DEFAULT NULL,
  `backinfo` varchar(1000) NOT NULL DEFAULT '' COMMENT '备注',
  PRIMARY KEY (`id`)
)


个人感觉用spring的acegi还不如按照自己的表结构设计权限，完成脱离acegi的繁琐配置
！！！！！！！！！！！！！如有更好的建议，欢迎大家指正！！！！！！！！！！

评论

23 楼 zhxp791008 2009-11-03  

一个系统(web)的权限分为两种：
功能权限，一为能不能看到菜单，二为能不操作具体的功能（url拦截、aop方法拦截),这两样必须同时完成，否则你的权限只是皇帝的新装，骗自己而已。
数据权限，一为行级，更高的为字段级别，方法可以用acl。我自己用的是hibernate的filter,或者你自己可以用sql重写方法完成。

在一个群中有个兄弟用的是aspectj完成aop进行功能权限，acl进行行级数据权限控制，还有就是用aspectj进行字段级别控制。

22 楼 mr.a 2009-11-03  

从此帖看出技术界浮躁 不宽容

21 楼 bluemusic 2009-11-03  

细粒度/粗粒度的资源分配是对权限设计的基本要求。支持脱离acegi，只要对自己项目有帮助，不过自己不怎么会的话老老实实用用别人的轮子也不错。

20 楼 dingdx 2009-11-03  

我认为不管怎么样，楼主能把自己的想法提出来都是比较好的，没有必要这样指责。抛砖引玉嘛，值得肯定。

19 楼 F.B.I 2009-11-03  

berlou 写道

看来我在一楼的回复倒引起一些敌视。
楼主， 不同的solution对应不同的scenario，如果你只是普通的网站后台， 别说acegi， 是不是考虑连Spring那么繁琐的配置也省去算了？
jsp+servlet+url权限控制？

你这几张表， 入门级的工程师应该都见过， 做过， 想过， 实在价值不高。我说的你接受就接受， 不接受就不接受， 无所谓。
还有个回帖认为我装x的那个人， 也无所谓， 因为我知道对牛弹琴是没结果的。

我以为自己很极端，可今天不这么认为了，我发这贴的目的不是秀技术，也没什么技术含量，只是借此来引出大家在实际项目中怎么做的，这个是最简单的网站后台的权限，不要动不动就 对牛弹琴 ，未免你也太那个了吧！

18 楼 berlou 2009-11-03  

看来我在一楼的回复倒引起一些敌视。
楼主， 不同的solution对应不同的scenario，如果你只是普通的网站后台， 别说acegi， 是不是考虑连Spring那么繁琐的配置也省去算了？
jsp+servlet+url权限控制？

你这几张表， 入门级的工程师应该都见过， 做过， 想过， 实在价值不高。我说的你接受就接受， 不接受就不接受， 无所谓。
还有个回帖认为我装x的那个人， 也无所谓， 因为我知道对牛弹琴是没结果的。

17 楼 F.B.I 2009-11-03  

nathanlee 写道

F.B.I 写道

权限表
CREATE TABLE `right` (

一般'权限', 俺们翻译为'privilege'

这个倒没什么，习惯自己就好，怎么定义就怎么弄，哈哈

16 楼 nathanlee 2009-11-03  

F.B.I 写道

权限表
CREATE TABLE `right` (

一般'权限', 俺们翻译为'privilege'

15 楼 hsbljyy 2009-11-03  

我在设计权限系统的时候，一开始也是考虑一大堆东西，包括基于B/S跟基于C/S的。于是光一个操作权限就让我烦躁不已。

后来思量了很多。最后还是决定跟LZ一样，用URL的方式来控制。为什么？URL完全可以满足操作权限的验证。拿web应用来说明吧，不过是JSP或者SERVLET，又或是HTML，在与服务器交互过程中，总得告诉服务器你需要请求的是什么资源吧，那OK，服务器知道了你请求的资源，我就能根据这些资源跟你的权限进行匹配，权限足够，可以访问。至于C/S，说实话，我没开发过。但是有一点我认为是相同的——都要请求服务器的资源。而服务器都是通过不同的类、方法来执行各种不同的操作，而类跟方法在系统中都可以通过一些方法将之映射成不同的URL，大家可以参考struts2.0。当然，还可以遵循约定大于配置的方法来简化一些配置信息。

综上，我认为，URL方式的过滤完全可以满足操作权限级别的系统安全。

至于数据权限，说实话，到目前为止，我仍然没有一个比较好的解决方案。

数据权限的设计范围太广，而且又涉及到业务，很难有一个通用的解决方案。

行级的数据权限可以通过拼装SQL来解决，但是列级的呢？而且，现在几乎都是用ORM来与存储设备交互，这种情况下，如何才能有一套完美的数据权限的解决方案？用规则引擎吗？

希望能有在这方面的达人提供一个比较完整的解决方案。

14 楼 F.B.I 2009-11-03  

linzy410 写道

如何理解了什么是资源，也就理解权限
LZ的想法只是一个简化的权限管理
如果只是这样确实比acegi方便，但是真正做到资源权限管理还是不够的

此兄弟所言极是，这只是一般的不能一般的权限，至于要真正做细粒度，这远远不够的，而且从灵活度来说这也差之甚远。如果一般的 我觉得比acegi方便多了。见笑了

13 楼 F.B.I 2009-11-03  

linliangyi2007 写道

我看到的就是RBAC的核心表，呵呵，不过楼主的标题太大了。

这只是表结构，我用extjs 用了棵树，我认为这是一般的权限， 如果按细粒度来分，至少应该分3层  url权限、数据权限、数据库字段权限

12 楼 linzy410 2009-11-03  

如何理解了什么是资源，也就理解权限
LZ的想法只是一个简化的权限管理
如果只是这样确实比acegi方便，但是真正做到资源权限管理还是不够的

11 楼 linliangyi2007 2009-11-03  

我看到的就是RBAC的核心表，呵呵，不过楼主的标题太大了。

10 楼 redish 2009-11-03  

liubaoshan 写道

acegi的配置确实繁琐，但是经过自己改装后还是可以放到任何一个web系统中应用的，不需要做繁琐的配置

怎么改装呢，有详细的说明吗？我正需要呢。

9 楼 F.B.I 2009-11-03  

chandler 写道

  一个轮子不是几张表，几段代码就可以造出来的。繁琐是为了通用性。

这个只是表结构，里面的代码肯定是通用的 我是结合extjs做的一棵权限树

8 楼 liubaoshan 2009-11-03  

acegi的配置确实繁琐，但是经过自己改装后还是可以放到任何一个web系统中应用的，不需要做繁琐的配置

7 楼 fireflyc 2009-11-02  

.........这个吗？那么好吧，来思考几个问题：
1. 资源是什么？在你的系统中资源是URL吗？如果这样那么这个东西如果脱离web运行能？对于一个安全框架来说支持URL是远远不够的。况且对于一个web系统把URL假设为需要保护的资源我觉得粒度太细了。
2. 用户数据如何来？除了放到数据库中，我可以和LDAP集成吗？或者我需要实现那个接口？
3. 用户认证后的信息放到哪里了？session中？如果是想放到cookie中呢？如果不是web程序呢？
4. 有统一登录的考虑吗？
5. 菜单呢？用户的菜？
6. 界面的权限控制有吗？
………………
随手写着几个。

6 楼 srj2903 2009-11-02  

这个是权限设计吗，不就是几张数据表！！！

5 楼 ChinaHopes 2009-11-02  

chandler 写道

  一个轮子不是几张表，几段代码就可以造出来的。繁琐是为了通用性。

简单就是最好的。

4 楼 ChinaHopes 2009-11-02  

berlou 写道

楼主你洗洗睡吧.
javaeye不推荐发这种新手帖子.

acegi确实繁琐点， 你可以看看别人的轮子和原理， 比如Seam Security.Jboss Drools
你这个连轮子都算不上， 实在太简陋了。

用户管理就是这些

再复杂无非加一些属性，分组功能。

不要学长春一汽