`
rongxh2010
  • 浏览: 48947 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

扩展RBAC用户角色权限设计方案

阅读更多

RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。(如下图)



角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如:一个论坛系统,“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等,这些是权限。要给某个用户授予这些权限,不需要直接将权限授予用户,可将“版主”这个角色赋予该用户。 

 

当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。(下图为用户组、用户与角色三者的关联关系)

在应用系统中,权限表现成什么?对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。(见下图)



请留意权限表中有一列“权限类型”,我们根据它的取值来区分是哪一类权限,如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。

 

这样设计的好处有二。其一,不需要区分哪些是权限操作,哪些是资源,(实际上,有时候也不好区分,如菜单,把它理解为资源呢还是功能模块权限呢?)。其二,方便扩展,当系统要对新的东西进行权限控制时,我只需要建立一个新的关联表“权限XX关联表”,并确定这类权限的权限类型字符串。

 

这里要注意的是,权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。这样,可以不需要权限菜单关联表,让权限表与菜单表直接关联,此时,须在权限表中新增一列用来保存菜单的ID,权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。

 

到这里,RBAC权限模型的扩展模型的完整设计图如下:



随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,跟用户组不同,角色组不参与授权。例如:某电网系统的权限管理模块中,角色就是挂在区局下,而区局在这里可当作角色组,它不参于权限分配。另外,为方便上面各主表自身的管理与查找,可采用树型结构,如菜单树、功能树等,当然这些可不需要参于权限分配。

 

以上,是从基本的RBAC模型进行了扩展,具体的设计要根据项目业务的需要作调整。欢迎大家提出批评意见!

  • 大小: 42.1 KB
  • 大小: 52.3 KB
  • 大小: 85.5 KB
  • 大小: 144.2 KB
分享到:
评论
39 楼 hsluoyz 2018-09-21  
现在新推出了一个权限框架,叫jCasbin(https://github.com/casbin/jcasbin)。jCasbin采用了元模型的设计思想,支持多种经典的访问控制方案,如ACL、RBAC、ABAC,还支持对RESTful API的控制。现在已经支持Spring Boot、JFinal等Web框架了。需要中文文档的话,可以在百度搜索:jCasbin
38 楼 江川河 2015-05-20  
rongxh,您好

RBAC模型里面,User-Role-Permission都很好理解,也很清晰。

Permission通常也被分为Operation+Resource/Object,但是实际上同为Role,对应于不同的User,可供操作的Object的范围(Scope)是不同的。

比如同为老师(Role),A班老师(User1)和B班老师(User2)可操作的学生范围(Scope)是不同的,但是在RBAC模型下,都只能用用"Operation:Student"来表达Permission,请问您这边有实际的解决方法吗
37 楼 di1984HIT 2014-11-17  
写的很好啊~
36 楼 liyonghui160com 2014-05-07  
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道

ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
xu-zhx 写道
ltian 写道
RBAC这么简单吗,怀疑你是否看过ARBC或者是否理解其精髓,不要以为简单地引入了角色的概念就是RBAC了,恐怕连第二个级别的RBAC都没实现,勉强算是第一个级别的RBAC,恐怕也是最简单的功能,谈不上任何扩展

既然你这么厉害,何不拿出你的见解出来谈谈呢?



大规模枯
嘤嘤嘤嘤路由器



35 楼 ming_02 2012-12-12  
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道

ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
xu-zhx 写道
ltian 写道
RBAC这么简单吗,怀疑你是否看过ARBC或者是否理解其精髓,不要以为简单地引入了角色的概念就是RBAC了,恐怕连第二个级别的RBAC都没实现,勉强算是第一个级别的RBAC,恐怕也是最简单的功能,谈不上任何扩展

既然你这么厉害,何不拿出你的见解出来谈谈呢?



大规模枯
嘤嘤嘤嘤路由器


34 楼 ming_02 2012-12-12  
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ming_02 写道
ming_02 写道
xu-zhx 写道
ltian 写道
RBAC这么简单吗,怀疑你是否看过ARBC或者是否理解其精髓,不要以为简单地引入了角色的概念就是RBAC了,恐怕连第二个级别的RBAC都没实现,勉强算是第一个级别的RBAC,恐怕也是最简单的功能,谈不上任何扩展
既然你这么厉害,何不拿出你的见解出来谈谈呢?



大规模枯
嘤嘤嘤嘤路由器

33 楼 ming_02 2012-12-12  
ming_02 写道
xu-zhx 写道
ltian 写道
RBAC这么简单吗,怀疑你是否看过ARBC或者是否理解其精髓,不要以为简单地引入了角色的概念就是RBAC了,恐怕连第二个级别的RBAC都没实现,勉强算是第一个级别的RBAC,恐怕也是最简单的功能,谈不上任何扩展

既然你这么厉害,何不拿出你的见解出来谈谈呢?



大规模枯
嘤嘤嘤嘤路由器
32 楼 ming_02 2012-12-12  
xu-zhx 写道
ltian 写道
RBAC这么简单吗,怀疑你是否看过ARBC或者是否理解其精髓,不要以为简单地引入了角色的概念就是RBAC了,恐怕连第二个级别的RBAC都没实现,勉强算是第一个级别的RBAC,恐怕也是最简单的功能,谈不上任何扩展

既然你这么厉害,何不拿出你的见解出来谈谈呢?



大规模枯
31 楼 superchinaren 2012-10-23  
楼主的PDM图能提供一份吗。
30 楼 平淡-幕 2012-09-07  
权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。
(文件、页面权限点、功能操作等同理)。
也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。


这样理解吗
例如菜单要添加一个 《员工管理》
就要添加
《员工管理查询》
《员工管理添加》
《员工管理修改》
《员工管理删除》 四个菜单吗?
29 楼 平淡-幕 2012-09-07  
权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。

这样理解吗 
例如菜单要添加一个 《员工管理》
就要添加《员工管理添加》
《员工管理添加》
28 楼 ltian 2012-09-07  
xu-zhx 写道
ltian 写道
RBAC这么简单吗,怀疑你是否看过ARBC或者是否理解其精髓,不要以为简单地引入了角色的概念就是RBAC了,恐怕连第二个级别的RBAC都没实现,勉强算是第一个级别的RBAC,恐怕也是最简单的功能,谈不上任何扩展

既然你这么厉害,何不拿出你的见解出来谈谈呢?

NIST RBAC 标准就放在那里,自己去看就好了,无需任何人帮你拿阿。
27 楼 sence_qi 2012-08-10  
hexawing 写道
引用
这里要注意的是,权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。

这里没太明白,LZ能详细讲讲吗?


每添加一个菜单,就需要为这个菜单设置权限,往权限菜单关联表,和权限表里面插入一条记录后,角色就可以引用在权限表里面配置对新添加菜单的权限,使用权限表的好处是,角色只需要直接关联权限表了,而不需要去关联菜单表,功能操作表。职责专一,维护角色权限也比较简单了

  其实我觉得,用户归根到底最终还是需要的是权限:
   用户---用户组---角色---权限(用户授受用户组模式)
   用户---角色---权限(用户可以直接授受角色模式)
  这个相对来说已经很完美了,但是针对用户细粒度的权限需求若是加上用户权限表,将用户和权限直接关联起来,系统的灵活度会更好
   用户---权限(用户可以直接授受权限)

   以上是个人见解,希望和楼主探讨
26 楼 hexawing 2012-08-03  
引用
这里要注意的是,权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。

这里没太明白,LZ能详细讲讲吗?
25 楼 treemap 2011-10-07  
powerdesign画的图? 楼主?
24 楼 aa87963014 2011-06-28  
vtrtbb 写道
实际复杂的是记录或者字段级别的权限设置,并不是页面端的控制

不知道对于记录级别的权限有什么好办法

举个最简单的例子,总经理看全部记录,部门经理部门,员工看自己 的三级权限,如何设置?



我也在考虑这样的问题 另外 页面端控制也很重要
23 楼 george_space 2011-06-27  
simplechinese 写道
楼上区分下功能权限和数据权限,楼主这里没涉及到数据权限


你说的“功能权限”,术语应该叫做“操作权限”。
权限控制通常分为操作权限和数据权限(读取数据的深度(多少)控制)。

数据深度的控制,一般是很难抽象出来,做到通用的,数据深度的控制,跟业务结合非常紧密。
要么是通过不同的权限来区分人员读取数据的深度,要么是在用一种程序中约定的(等于写死的)的标志,来区分不同人员的读取数据的深度。

所以权限之数据深度控制是比较难做到通用型的。
22 楼 george_space 2011-06-27  
<div class="quote_title">
<br><br> rongxh2010 写道</div>
<div class="quote_div">
<p>RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。(如下图)</p>
<p><img src="http://dl.iteye.com/upload/attachment/425543/d2573c4d-dca7-380f-b2fc-6cda19d6eaf5.jpg" alt=""><br><br>角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如:一个论坛系统,“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等,这些是权限。要给某个用户授予这些权限,不需要直接将权限授予用户,可将“版主”这个角色赋予该用户。 </p>
<p> </p>
<p>当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。(下图为用户组、用户与角色三者的关联关系)</p>
<p><img src="http://dl.iteye.com/upload/attachment/425558/90bf9805-c29d-3199-a905-c6ddc7fd4e81.jpg" alt=""></p>
<p>在应用系统中,权限表现成什么?对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。(见下图)</p>
<p><br><img src="http://dl.iteye.com/upload/attachment/425567/53bc63c4-52e6-3c6f-91d8-7e23a9aefe4a.jpg" alt=""><br>请留意权限表中有一列“权限类型”,我们根据它的取值来区分是哪一类权限,如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。</p>
<p> </p>
<p>这样设计的好处有二。其一,不需要区分哪些是权限操作,哪些是资源,(实际上,有时候也不好区分,如菜单,把它理解为资源呢还是功能模块权限呢?)。其二,方便扩展,当系统要对新的东西进行权限控制时,我只需要建立一个新的关联表“权限XX关联表”,并确定这类权限的权限类型字符串。</p>
<p> </p>
<p>这里要注意的是,权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。(文件、页面权限点、功能操作等同理)。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。这样,可以不需要权限菜单关联表,让权限表与菜单表直接关联,此时,须在权限表中新增一列用来保存菜单的ID,权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。</p>
<p> </p>
<p>到这里,RBAC权限模型的扩展模型的完整设计图如下:</p>
<p><br><img src="http://dl.iteye.com/upload/attachment/425569/c07d99bc-e19d-302d-8dea-dc98309bf919.jpg" alt=""><br>随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,跟用户组不同,角色组不参与授权。例如:某电网系统的权限管理模块中,角色就是挂在区局下,而区局在这里可当作角色组,它不参于权限分配。另外,为方便上面各主表自身的管理与查找,可采用树型结构,如菜单树、功能树等,当然这些可不需要参于权限分配。</p>
<p> </p>
<p>以上,是从基本的RBAC模型进行了扩展,具体的设计要根据项目业务的需要作调整。欢迎大家提出批评意见!</p>
</div>
<p><br><span style="color: #ff0000; font-size: large;"><strong>不是吧,猛一看以为是我自己的数据模型呢?我以为只有我的权限系统有“页面元素”这个概念呢。</strong></span></p>
<p><strong><span style="color: #ff0000; font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="color: #0000ff; font-size: large;">有时候需要单独为一个用户增加一两个权限的,这时候单独为这个用户设计一个“角色”,不值得,所以我设计的是:既可以通过角色为用户分配权限,也可以直接将权限分配给用户。</span></strong></p>
<p><strong><span style="color: #0000ff; font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="color: #000000; font-size: large;">我接触过的几个开发人员,都不明白为什么要直接给用户分配权限,但是在软件的实际应用中,如果完全基于“角色”为人员分配权限,你会 发现角色之间重复、冗余的权限很多,这样反复的定义多种多样的“角色”,还不如设计成可以直接为人员分配权限呢。</span></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="font-size: large;">权限管理基本上分为以下几个步骤:</span></strong></p>
<p><strong><span style="font-size: large;">1、定义权限-》定义角色-》为人员分配角色(或者直接分配权限),这是一个分配权限的过程;</span></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="font-size: large;">2、定义受保护资源-》为“受保护资源”指定授权权限,这是一个授权的过程;</span></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="font-size: large;">3、应用程序请求“受保护资源”-》“受保护资源”的授权权限与人员持有的权限进行匹配-》匹配成功,允许访问资源,匹配失败,不允许访问资源,这是一个认证的过程。</span></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong></strong></p>
<p><strong><span style="font-size: large;">上面这三个过程,是典型的“操作权限”的流程。</span></strong></p>
<p><strong><span style="font-size: large;">
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
</span></strong></p>
<p><strong><span style="font-size: large;">
<p><strong><span style="font-size: large;">关于“页面元素”的控制,目前多数权限管理系统,都是用“自定义权限标签”来控制页面元素的显示与否的。</span></strong></p>
<p><strong><span style="font-size: large;">我目前也是这样实现的,但是我一直认为:其实用“自定义权限标签”来控制页面元素的显示与否,跟直接在视图中使用程序逻辑判断,是一样的,并没有做到“灵活配置”,当权限编码改变,或者权限含义改变时,还是要去动页面的标签,所以跟写死没什么分别。</span></strong></p>
<p><strong></strong> </p>
<p><strong><span style="font-size: large;">如果页面元素是通过服务端组装成json,或者别的格式的数据,然后返回到视图层进行渲染,这样的话,就可以做到“页面元素的权限灵活配置了”,可以通过数据库定义那些按钮对那些权限或角色进行显示。</span></strong></p>
<p> </p>
<p>“服务端组装视图层组件,返回视图层渲染”,这个模式虽然做到了“对页面元素的权限灵活配置”,但是牺牲掉了很多东西,比如加大了服务端的复杂度,使得页面的设计更加“程序员化”,而不是“美工化”等。</p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong> </p>
<strong><span style="font-size: large;">
<p>至于最关键的“数据权限”,也就是人员对数据的读取深度的控制,是更为复杂的流程。</p>
</span></strong></span>
<p> </p>
</strong></p>
<p> </p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong><span style="font-size: large;">对于“数据深度”的控制,我目前的做法是和业务结合的非常紧密,即:在读取数据的程序中,比如“列表”页,首先判断当前登陆者有没有“读取任意深度的权限”,如果有,就不做读取限制;如果没有,则判断当前登录人员是不是部门主管,如果是,则递归读取本部门下的所有数据,如果不是主管,则只读取自己的数据。</span></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong><span style="font-size: large;">“数据深度”的控制,细设计的话,应该可以更通用,更灵活,大家有什么更好的思路,可以讨论一下。</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong><span style="font-size: large;">我目前设计的是一个人员只能有一个“角色”,当然,如果设计成一个人员有多个“角色”,也不是很复杂的事情,在“用户表”和“角色表”之间增加一个“用户-角色映射表”就可以了,但是为了系统的简单起见,我把这种设计简化了。</span></strong></p>
<p><strong><span style="font-size: large;">--------------------------------------------</span></strong></p>
<p><strong></strong></p>
<p><strong><span style="font-size: large;">以下是我的“权限控制”的部分数据模型:</span></strong></p>
<p><strong></strong></p>
<p><img src="http://dl.iteye.com/upload/attachment/505365/4464cc41-14d0-3de3-a4ae-e6e41693f347.jpg" alt=""></p>
<p> </p>
<p><span style="color: #ff0000; font-size: large;"><strong>我目前比较关心的是:</strong></span></p>
<p><span style="color: #ff0000; font-size: large;"><strong>1、数据权限(读取数据的深度)有什么更通用的设计?</strong></span></p>
<p><span style="color: #ff0000; font-size: large;"><strong>2、页面元素的控制,除了使用“自定义权限标签”,或者“服务端组装视图层组件”两种方法,还有没有更好的设计?</strong></span></p>
<p><span style="color: #ff0000; font-size: large;"><strong></strong></span></p>
<p><span style="color: #ff0000; font-size: large;"><strong>有木有?有木有?牛人出来讨论下啊。</strong></span></p>
21 楼 openFox 2011-06-27  
本来还挺明白的,看你的我糊涂了
20 楼 hk8082 2011-04-01  
复杂,能否再进一步抽象呢,做个更通用一点的权限管理模块出来

相关推荐

    RBAC用户角色权限设计方案

    ### RBAC用户角色权限设计方案详解 #### 一、引言 在现代软件系统尤其是企业级应用中,用户角色权限管理是非常重要的一部分。合理的权限管理不仅可以提高系统的安全性,还能提升用户体验,使得不同用户能够根据自己...

    角色权限设计方案.pdf

    综上所述,角色权限设计方案的核心是RBAC模型,通过角色作为权限的桥梁,简化了用户权限的管理和分配。用户组的引入进一步优化了这一过程,提供了更灵活的权限控制策略,尤其在处理大规模用户和复杂权限需求时显得尤...

    基于RBAC改进模型的角色权限及层次关系分析

    ### 基于RBAC改进模型的角色权限及层次关系分析 #### 一、引言 随着信息技术的发展,网络安全成为组织和个人关注的重点。基于角色的访问控制(Role-Based Access Control,简称RBAC)作为一种有效的访问控制机制,...

    基于RBAC的通用权限管理构件

    基于RBAC(Role-Based Access Control,基于角色的访问控制)的通用权限管理构件是一种广泛应用于企业级应用的解决方案,它通过角色来管理和控制用户的访问权限。下面将详细介绍这个系统以及与其相关的技术。 **...

    基于RBAC的权限管理系统的实现

    文件“JAVA用户权限管理概要设计说明书-外发版.pdf”可能会提供更详细的设计方案,包括数据库表结构设计、接口设计以及权限验证机制。另一份“基于RBAC的权限管理系统的实现.pdf”可能是具体实现的技术文档,涵盖了...

    rbac的权限模式是什么

    RBAC0模型通过在用户与权限之间引入“角色”这一中间层,增强了模型的灵活性和可扩展性。具体来说,用户通过拥有不同角色从而获得相应的权限,这种机制使得权限管理更加简单高效。 #### 三、RBAC的扩展模型(RBAC1、...

    基于角色的权限管理数据库设计

    本文档主要介绍了一种基于角色的权限管理系统(RBAC)的数据库设计方案,并通过具体的SQL脚本实现了该方案的基本功能。RBAC(Role-Based Access Control)是一种常用的安全管理机制,它通过定义不同的角色以及这些...

    用户权限管理设计方案

    这个设计方案主要关注如何有效地设计和实施用户权限系统,确保每个用户只能访问他们被授权的数据和功能,从而保护系统的完整性和数据的安全性。下面我们将深入探讨这个话题。 首先,权限管理的核心在于用户角色。...

    Springboot+Shiro+Redis实现RBAC用户权限管理

    总结来说,"Springboot+Shiro+Redis实现RBAC用户权限管理"是一种高效、可扩展的解决方案,它结合了Springboot的便捷性、Shiro的权限管理功能和Redis的高速缓存能力,通过org.creazycake插件进一步简化了整合过程。...

    基于角色的访问控制技术(RBAC)

    基于角色的访问控制技术(Role-Based Access Control, RBAC)是一种有效的权限管理机制,它旨在规范用户对系统资源的访问,防止未经授权的访问和潜在的安全威胁。与传统的自主访问控制(DAC)和强制访问控制(MAC)...

    Java layui 用户角色权限源码

    综合来看,"Java layui 用户角色权限源码"覆盖了后端开发、前端展示、数据库设计和权限管理等多个方面,为开发者提供了一个可复用且可扩展的模板。通过深入学习和理解这套源码,开发者不仅可以提升自己的Java和Layui...

    基于Django+vue3的rbac权限和数据权限管理系统.zip

    是一个现代Web应用的实现,它结合了Python的Django框架与前端的Vue.js 3框架,用于构建一套完整的角色基础访问控制(Role-Based Access Control,RBAC)和数据权限管理解决方案。在这样的系统中,RBAC是一种权限分配...

    三层+MVC+easyui RBAC通用权限设计与实现(含数据库脚本)

    本文将深入探讨一个基于“三层架构+MVC模式+EasyUI”的RBAC(Role-Based Access Control,基于角色的访问控制)通用权限设计与实现的案例。 首先,三层架构是一种常见的软件设计模式,它将应用逻辑分为表现层、业务...

    SSH实现基于RBAC的权限管理系统

    角色是一组权限的集合,用户被赋予某个或多个角色后,就拥有了对应的角色权限。这样的设计使得权限管理更加灵活,便于权限的集中管理和调整。 系统的主要功能可能包括: 1. **用户管理**:添加、修改、删除用户,...

    hibernate struts 实现RBAC权限管理系统

    在RBAC0级模型中,系统中的用户通过分配角色来获得操作权限,而不是直接给予每个用户具体的权限。这样做的好处是简化了权限管理,提高了安全性,并降低了权限变更的风险。用户、角色和权限之间存在明确的关系:用户...

Global site tag (gtag.js) - Google Analytics