关于权限模块设计的一点思考

现在在进行系统的权限模块的开发，
已经建立了 user - role - permission 的关联规则，可以实现到url的控制；
问题产生，这样就要依赖url，而且可能会出现同一个url处理类中会包含处理多个业务的方法，这样就不能实现严格控制了，而且可能产生混乱，这是问题一；
问题二，如果我想权限控制粒度再细一点，比如能够控制到每个页面的每个按钮（操作），这样又该符合设计呢？

权限的控制问题应该在大部分的web程序中都会使用到的吧，
还请诸位不吝指点几句

评论

13 楼 marsjin 2008-10-29  

权限的分配一般是：
user：具体的用户
role：权限角色
menu：功能菜单

一般给role分配menu

给user分配role

如果user分配了某个role，哪么他就具有role所分配的menu权限

一个role可以分配多个menu
一个user可以分配多个role，哪么他具有更多个role的menu权限

12 楼 tedeyang 2008-10-29  

接着回答楼主的两个问题
1,一个url中有多个处理内容要分别设计权限,你可以用Spring Security利用AOP完成的方法拦截,配合异常过滤器,就可以很漂亮地用一个提示页面来告诉用户"老兄,你捞过界了"

2,页面中按钮控制
方案一:让这个按钮按权限决定是否显示,这个可以使用Spring Security的JspTag,或者你自己开发其他模板语言的宏(我就需要开发velocity宏,谁让因为官方不提供来着)
方案二:在这个按钮执行后从服务端进行AOP拦截.也就是1中提到的

其实我自己的应用中还有苦恼事,就是想让url能被用户自定义,于是必须用数据库来存储url和role的对应关系,恩,还要接着看是否能扩展SS2.应该是很容易的,因为我大概知道Spring是如何解析http配置的,呵呵.

11 楼 tedeyang 2008-10-29  

andy54321 写道

jander 写道

看看spring security, 它都给你解决了。
虽然有点繁琐。

不是有点繁琐，是非常繁琐，感觉太庞大了；
其实在解决方法上，我在进行spring security / jsecurity 之间的抉择，
前者过于庞大繁琐，后者刚刚加入apache，好多东西都没完善呢，当前文档、demo相当缺乏；

如果说Acegi庞大繁琐那是实话,说Spring  Security 2.0繁琐那我不能苟同.
以我的经验,Security 2.0已经非常简洁了.接口设计优雅,,默认值合理,用来开发其实非常快.
我们以前是用过滤器做的URL权限控制,最近我改成了Spring Security实现,
写了十几行配置,再实现一个接口,再看看它的几个jsptag,登录和权限就都集成了,也不需要修改原来数据库结构.即便以后把用户信息改成LDAP实现,或者增加方法级别的安全设置,看手册那也是很easy的.

推荐看<<Spring in action>>第二版,在网上有公开章节的,其中含有Spring Security的相关内容,可能是地球上写得最好的教材了.(我本来照着官方网页的step by step入手的,弄了一天也没明白,嘿嘿.)
从这本书着手看,半天就能看懂,一天就能架起来.

我写过的URL控制性质的权限系统和Spring Security 2的架构设计比起来就像玩具一样,太粗糙了.看了人家的设计和代码,很被折服了一把.
唉...

10 楼 andy54321 2008-10-29  

Joo 写道

我们现在的做法是采用scope+type字段来判断一种Permission,其中scope代表URL,type可能为url也可能为action.这样同时也定义了权限的划分,方便权限分配时候的操作.其实更好的方法是将所有的permission都作为Action处理,这个等有时间在慢慢细说

期待你详细的解说

9 楼 andy54321 2008-10-29  

Fly_m 写道

将权限细分到对操作(method)，资源上的控制，用单独的interceptor来处理。

多谢，可否说得细一点呢

8 楼 andy54321 2008-10-29  

jander 写道

看看spring security, 它都给你解决了。
虽然有点繁琐。

不是有点繁琐，是非常繁琐，感觉太庞大了；
其实在解决方法上，我在进行spring security / jsecurity 之间的抉择，
前者过于庞大繁琐，后者刚刚加入apache，好多东西都没完善呢，当前文档、demo相当缺乏；

7 楼 andy54321 2008-10-29  

ronghao 写道

问题2可以参考这里：
http://blog.csdn.net/snow_fox_yaya/archive/2007/07/29/1715869.aspx
基于webwork和过滤器实现无代码侵入的原子级界面权限

多谢，看了这个，
明白了一些东东。。。

6 楼 andy54321 2008-10-29  

shiren1118 写道

url怎么就控制不了呢？DispatchACtion或multiController怎么不成呢？

能具体说一下是怎样实现的么

5 楼 Joo 2008-10-29  

如果没有使用第三方的MVC框架，则可以让每一个Action方法实现一个action或者validable的接口，实现接口中一个isPermission()的方法,然后再其中实现你的权限验证.如果controller不是简单的pojo,那只能考虑采用AOP将验证方法插到action方法代码之前进行验证了.
我们现在的做法是采用scope+type字段来判断一种Permission,其中scope代表URL,type可能为url也可能为action.这样同时也定义了权限的划分,方便权限分配时候的操作.其实更好的方法是将所有的permission都作为Action处理,这个等有时间在慢慢细说

4 楼 Fly_m 2008-10-28  

将权限细分到对操作(method)，资源上的控制，用单独的interceptor来处理。

3 楼 jander 2008-10-28  

看看spring security, 它都给你解决了。
虽然有点繁琐。

2 楼 ronghao 2008-10-28  

问题2可以参考这里：
http://blog.csdn.net/snow_fox_yaya/archive/2007/07/29/1715869.aspx
基于webwork和过滤器实现无代码侵入的原子级界面权限

1 楼 shiren1118 2008-10-28  

url怎么就控制不了呢？DispatchACtion或multiController怎么不成呢？