通用权限管理系统java权限处理及其实现思路
java后台 管理员 权限 设计 与 多种实现
1. 概念权限控制有几个概念:用户、角色、资源、操作、许可一个用户可以拥有多个角色,一个角色可以对应多个用户,一个角色拥有对某些资源的操作,一个资源操作可以授予多个角色,那么哪个角色可以操作哪些资源记录在许可里。
2. 几个table参考Create table--用户表,存放用户信息create table SYS_USR(USR_ID VARCHAR(20) not null,USR_NAME VARCHAR(20),USR_PWD VARCHAR(30),USR_PWD_QUESTION VARCHAR(100),USR_PWD_ANSWER VARCHAR(100),USR_REMARK VARCHAR(255),USR_DISABLE_DATE DA TEtime,USR_EMAIL VARCHAR(50) not null,USR_CREATE_BY VARCHAR(20),USR_CREATE_DATE DATEtime,USR_UPDATE_BY VARCHAR(20),USR_UPDATE_DATE DATEtime)-- Create table--群组表,存放群组信息create table SYS_GROUP(GROUP_ID VARCHAR(20) not null,GROUP_NAME VARCHAR(50) not null,GROUP_REMARK VARCHAR(255),GROUP_CREATE_BY VARCHAR(20),GROUP_CREATE_datetime datetime,GROUP_UPdatetime_BY VARCHAR(20),GROUP_UPdatetime_datetime datetime,GROUP_DISABLE_datetime datetime)-- Create table--用户群组表,存放哪些用户属于哪个群组create table SYS_USR_GROUP(USR_ID VARCHAR(20) not null,GROUP_ID VARCHAR(20) not null,USR_GROUP_REMARK VARCHAR(255),USR_GROUP_CREATE_BY VARCHAR(20),USR_GROUPCREATE_datetime datetime,USR_GROUPUPdatetime_BY VARCHAR(20),USR_GROUPUPdatetime_datetime datetime)-- Create table-- 功能表,这里可以放页面create table SYS_FUNCTION(FUNC_ID VARCHAR(20) not null,FUNC_NAME VARCHAR(20),FUNC_FATHER_ID VARCHAR(20),FUNC_DESC VARCHAR(100),FUNC_REMARK VARCHAR(255),FUNC_DISABLE_datetime datetime,FUNC_CREATE_BY VARCHAR(20),FUNC_CREATE_datetime datetime,FUNC_UPdatetime_BY VARCHAR(20),FUNC_UPdatetime_datetime datetime)-- Create table-- 群组功能表,存放群组可以访问的页面create table SYS_GROUP_FUNC(GROUP_ID VARCHAR(20) not null,FUNC_ID VARCHAR(20) not null,GROUP_FUNC_REMARK VARCHAR(255),GROUP_FUNC_CREATE_BY VARCHAR(20),GROUP_FUNC_CREATE_datetime datetime,GROUP_FUNC_UPdatetime_BY VARCHAR(20),GROUP_FUNC_UPdatetime_datetime datetime)最后通过sql 语句串起来,可以得到一个用户属于哪个群组,这个群组又有访问哪些页面的权限,这样这个用户访问页面的权限就确定了.3. Filter实现<!--超级管理员--><filter><filter-name>adminCheck</filter-name><filter-class>com.tianhua.filter.AdminRightCheck</filter-class></filter><filter-mapping><filter-name>adminCheckUser</filter-name><url-pattern>/admin/user/*</url-pattern></filter-mapping><!--小权限管理员--><filter><filter-name>adminCheckUser</filter-name><filter-class>com.tianhua.filter.AdminRightCheckUser</filter-class> </filter><filter-mapping><filter-name>adminCheckUser</filter-name><url-pattern>/admin/user/*</url-pattern></filter-mapping>public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {// TODO Auto-generated method stubHttpServletRequest req = (HttpServletRequest) request;HttpServletResponse res = (HttpServletResponse) response;HttpSession session = req.getSession(true);AdminDto dto = (AdminDto) session.getAttribute("adminDto");if (dto == null) {res.sendRedirect(url);} else if (!"1".equals(dto.getAdminRightFlag())) {res.sendRedirect(url);} else {chain.doFilter(request, response);}}public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {// TODO Auto-generated method stubHttpServletRequest req = (HttpServletRequest) request;HttpServletResponse res = (HttpServletResponse) response;HttpSession session = req.getSession(true);AdminDto dto = (AdminDto) session.getAttribute("adminDto");if (dto == null) {res.sendRedirect(url);} else if (!"1".equals(dto.getAdminRightFlag())) {res.sendRedirect(url);} else {chain.doFilter(request, response);}}4. Java用户角色权限设计实现业务系统中的用户权限管理B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。
管理系统中的权限管理和访问控制
管理系统中的权限管理和访问控制在管理系统中,权限管理和访问控制是至关重要的组成部分。
通过合理设置权限和访问控制,可以确保系统的安全性和稳定性,防止未经授权的用户访问系统资源,同时也能够有效地管理用户的权限,保障信息的机密性和完整性。
本文将从权限管理和访问控制的概念、作用、实施方法以及最佳实践等方面进行探讨。
权限管理是指在系统中对用户进行身份验证和授权的过程,通过权限管理可以确定用户可以访问哪些资源以及对这些资源有哪些操作权限。
权限管理的核心在于对用户进行身份验证,确认用户的身份后再根据其权限级别来控制其对系统资源的访问。
权限管理的作用主要体现在以下几个方面:首先,权限管理可以保护系统的安全性。
通过对用户进行身份验证和授权,可以有效地防止未经授权的用户访问系统资源,避免系统遭受恶意攻击和非法访问。
其次,权限管理可以保障信息的机密性和完整性。
合理设置权限可以确保用户只能访问其需要的资源,避免用户获取无关信息或对系统资源进行未经授权的操作,从而保护信息的机密性和完整性。
再次,权限管理可以提高系统的管理效率。
通过权限管理,管理员可以根据用户的角色和职责来设置其权限,实现对用户权限的精细化管理,减少管理人员的工作量,提高管理效率。
最后,权限管理可以降低系统风险。
合理设置权限可以降低系统被攻击或滥用的风险,保障系统的稳定性和可靠性,为系统的正常运行提供保障。
在实施权限管理时,可以采取以下几种方法:1. 基于角色的权限管理:将用户按照其角色和职责划分为不同的角色,然后为每个角色分配相应的权限,用户通过角色来获取相应的权限,简化权限管理的复杂性。
2. 细粒度的权限控制:对系统资源进行细粒度的权限控制,可以实现对每个用户或每个角色的权限进行精细化管理,确保用户只能访问其需要的资源。
3. 权限审计和监控:对用户的权限操作进行审计和监控,及时发现并处理异常权限操作,保障系统的安全性和稳定性。
4. 多层次的权限管理:根据系统的安全需求,可以设置多层次的权限管理,对不同级别的用户或资源进行不同的权限控制,提高系统的安全性。
常用的权限管理方案
常用的权限管理方案
以下是 6 条关于常用权限管理方案的内容:
1. 角色划分那可是相当重要啊!比如说在一个公司里,把员工分成不同角色,像普通员工、主管、经理等等。
这样一来,普通员工就只能访问自己工作相关的信息,主管能管理手下员工的权限,经理则掌控更大的权限,这不就井井有条啦!你想想,要是没这个划分,那不乱套啦?
2. 访问控制列表也很棒呀!就好比进入一个特别的地方,不是谁都能随便进的,得在名单上的人才能进。
在系统里也是一样,只有被允许的人才能访问特定的资源。
比如说只有特定部门的人才能查看那些机密文件,其他人只能望而却步啦,这多有保障啊!
3. 权限分层绝对少不了哇!就像盖房子一样,有基础层、中间层和高层。
在权限管理里,基层可能就是一些基本操作权限,往上呢,就有更多更重要的权限啦。
比如普通用户能读写一些公开数据,而高级用户就能修改重要设置,这就分出层次来了呀,多清晰!
4. 动态权限调整难道不神奇吗?就好像根据不同的情况给你不同的通行卡。
比如说一个员工在某个项目期间需要特殊权限,一旦项目结束就收回来。
这多灵活啊,能随需应变,那多酷啊!
5. 单点登录也超实用的好不好!就像是你有一把万能钥匙,可以打开好多扇门。
只要登录一次,就能在多个系统中自由穿梭,不用反复登录,多省事儿啊,这不就大大提高效率啦!
6. 权限审核可不能马虎呀!就好比有个严格的卫兵在把关。
每次有人申请权限,都要仔细审核,看是不是真的需要,能不能给。
这得认真对待呀,不然可就出乱子咯。
总之,这些常用权限管理方案真的很重要,它们能让一切都有序进行,让我们的信息更安全、管理更高效!。
权限系统设计思路
权限系统设计思路一、何为权限?在日常生活中,【锁】是安在可开合的器物(如门、箱子、抽屉等)上,起封缄作用,要用钥匙、密码或其他特种工具或手段才能打开的器具。
想要打开一道锁,就必须拥有一把【key】。
代入到线上场景,【锁】就是一道道限制,这个【key】其实就是权限,即拥有key,就拥有了打开锁的权限。
随着线上化的普及,越来越多的工作都需要在线上完成,员工对于一些内部的操作系统的依赖性也就越来越强。
一个公司内包含了多种角色,如销售、运营、售前、财务、人力等,每个角色的工作内容不同,所以使用的操作后台也不同。
基于数据隐私以及操作安全考虑,各个角色只应该处理自己角色范围内的工作,而不应该查询、操作僭越职责范围外的信息。
如除了财务组人员外,财务的数据不能随便被公司其他人员看到、相关后台不能随便被登陆使用;hrbp所管理的员工薪酬信息不能随便被普通员工看到等等。
权限系统是指,我们可以对每个操作后台都上的一道锁。
只有拥有了这道锁的【key】,即拥有了对应的权限的人,才能登陆系统,查询相关数据。
二、如何设计权限系统1. 权限系统设计流程权限系统的设计其实主要是两个流程:1、对系统、及系统下细化的功能点关联权限key2、赋予用户权限key这样预期就达成了:用户拥有了某个系统/某个系统功能点的权限。
2. 权限系统设计维度上文我们说了权限系统的设计流程,围绕设计流程,可以分析出权限系统设计主要是两个维度:(1)系统/系统功能对系统或系统某功能关联权限时,一般包含功能域权限和数据域权限。
怎么理解这个功能域权限和数据域权限呢?还是举个小明的栗子:小明是一个活动运营,每次涉及运营经费立项时,都会用公司统一OA系统按照要求填写申请单、等待老板审批。
小明发现,虽然同事小李也在用OA系统申请预算,但是他在后台无法看到的小李的申请单。
在这个例子中,【能够使用OA系统申请预算】是因为具备了OA系统的功能域权限,而只能看到部分数据,则是通过数据域进行了隔离。
权限管理办法
权限管理办法权限管理是现代企业和组织不可或缺的一部分。
它可以确保有限的资源能够被合适的人员进行合适的活动,并保证系统和数据的完整性和安全性。
本文将介绍一些关于权限管理的方法和实践,以帮助企业和组织管理其系统和数据。
1. 角色管理角色管理是权限管理的核心部分。
角色是一组规定好的权限集合,它可以被分配给一组用户并决定哪些操作对此用户组来说可以使用,哪些操作不能使用。
角色类别包括但不限于管理员、运维、普通员工、顾客等。
一个用户可能被分配多个角色,取决于他们在组织中的职责和需求。
1.1 角色定义角色定义是创建角色管理的必要步骤之一。
定义角色需要考虑以下因素:•角色的功能:决定这个角色可以在系统中做什么。
•这个角色分配给哪些人:角色分配给不同的用户,以确保用户在组织中的职责得到满足。
•角色被添加到哪里:一个用户可以被分配多个角色,这取决于他们在组织中的职责。
1.2 角色层级为组织设计合适的角色层级是建立角色管理的另一个重要步骤。
一个好的角色层级能够确保更高级别角色的用户可以访问其下属用户和角色的数据和权限。
这样做有助于创建一个更严密的权限管理体系。
2. 访问控制访问控制是权限管理的另一个重要部分。
它定义了哪些对象可以被特定角色访问和操作。
对象可以是文件、目录、应用程序、数据库、服务器、网络资源等。
访问控制机制确保只有特定的用户和角色(以及他们分配的权限)可以访问受保护的资源。
2.1 访问控制层次组织应该将其资源划分为不同的访问层次,以便于管理。
例如,一个可以访问所有文件和目录的管理员属于最高级别的访问层次。
而其他员工属于第二层次,他们可以访问部分受保护的资源,但不能访问管理员可以访问的资源。
这种策略可以确保不同类型的人员只能访问他们需要访问的资源。
2.2 访问控制类型访问控制类型包括以下几种类型:•用户身份验证:确保用户是身份真实的。
•授权:确定用户可以做什么操作。
•审计:审计是记录用户访问和操作资源的过程。
通用的权限设计方案
通用的权限设计方案权限设计是指在系统中对用户或角色进行权限控制的一种方法。
一个好的权限设计方案应该具备通用性,以适应不同系统的需求。
以下是一个通用的权限设计方案的主要内容:1. 角色定义:根据系统的组织结构和功能需求,定义不同的角色。
每个角色代表了一组功能和操作权限。
角色可以根据需要进行细分,如管理员、普通用户等。
2. 权限分配:根据角色的定义,将不同的权限分配给每个角色。
权限可以细分为功能权限、数据权限等。
功能权限定义了角色可以执行哪些功能操作,数据权限定义了角色可以访问哪些数据。
权限分配应该遵循最小权限原则,即每个角色只能获得其所需的最小权限,以减少系统的安全风险。
3. 继承关系:可以定义角色之间的继承关系,从而简化权限分配的过程。
例如,一个普通用户角色可以继承自一个基础用户角色,基础用户角色拥有基本的操作权限,而普通用户角色在此基础上可以有更多的操作权限。
4. 动态权限:在系统运行期间,可能会有新功能的添加、现有功能的修改等情况。
为了适应这种变化,权限设计应该支持动态权限的分配和控制。
可以使用配置文件、数据库等方式存储和管理权限信息,并通过权限管理模块实现动态权限的添加、修改和删除。
5. 权限验证:在系统中需要对用户或角色进行权限验证,以确保只有具有足够权限的用户才能执行某些操作。
权限验证可以在用户登录时进行,也可以在每个操作执行前进行。
一般来说,权限验证应该是一个通用的模块,可以被系统的各个功能模块调用,以保证权限的一致性和完整性。
6. 审计跟踪:为了追踪系统中的操作情况,权限设计应该支持审计跟踪功能。
可以记录每个用户的操作日志,包括操作时间、操作内容等信息,以便于系统管理员进行安全审计和日志分析。
以上是一个通用的权限设计方案的主要内容。
当然,具体的权限设计方案还需要根据系统的实际需求和安全要求进行定制。
总之,一个好的权限设计方案应该能够细致地、灵活地管理用户和角色的权限,并能够适应系统的变化和演化。
权限管理系统的设计与实现
权限管理系统的设计与实现第一章概述权限管理系统是指对系统中各个子系统、各个模块和各个功能进行精细化的权限管理,确保各个用户只能访问其所需的信息,从业务上防止恶意用户进行非法操作和篡改数据等违法行为。
权限管理是系统设计中非常重要的一个环节,是保证业务智能化,在保护业务安全、数据安全的同时提高业务开展的效率。
本文主要介绍权限管理系统的设计与实现,包括权限管理系统的功能定义、系统架构设计和实现过程等方面。
第二章功能定义权限管理系统主要包括以下几个功能:1、用户和角色管理:权限管理系统需要对用户和角色进行建模,包括登录名、密码、角色身份等信息,以及登录验证、密码加密等相关功能。
2、权限配置和控制:该功能用于实现对某些用户进行特定功能的控制和权限配置,并根据权限对页面的展示和操作进行限制。
3、功能菜单和操作权限管理:该功能是将系统中所有的业务功能进行建模,将其抽象为菜单形式,并根据业务功能对菜单进行管理,将其与用户及其角色进行绑定,确保非授权用户无法访问该功能。
4、操作日志和审计:该功能用于对用户操作进行日志记录和审计,检验每一次操作是否符合规则和权限,减少非法操作和数据篡改的风险。
第三章系统架构设计权限管理系统的架构主要包括以下几个部分:前端展示、服务端处理、数据库存储。
1、前端展示:前端主要负责用户界面的展示和交互操作。
UI 设计需要符合应用程序开发的标准,保证界面美观、易用和功能完整。
2、服务端处理:服务端通过接收前端请求并进行权限检查,将请求数据通过逻辑处理程序进行处理,并将数据通过数据访问层操作存储到数据库中或返回到前端。
3、数据库存储:数据库存储系统将数据以关系数据的形式进行存储,并保证数据的安全性和一致性。
数据库管理系统(DBMS)提供了各种安全管理机制来满足安全性要求。
第四章实现过程在系统实现的过程中,按照以下步骤进行:1、需求分析:确定系统的功能和性能要求,收集用户需求,明确系统功能和广泛性及数据结构和性能指标等。
Java Web通用用户权限管理框架设计与实现
me n t f r a me b a s e d o n J a v a We b i s r e li a z e d f o r t h e p u r p o s e o f r e a l i z i n g u s e r s ,r o l e a n d r e s o u r c e ma n a g e me n t .T h e s y s t e m a d o p t s
制访 问控 制模 型 和基 于角色 的访 问控 制模 型 。
自主访 问控制 模 型 ( D i s c r e t i o n a r y A c c e s s C o n t r o l ,
D A C) 是 根据 自主访 问策 略建 立 的一 种 模 型 , 拥 有 访 问许 可 的主体 能够 直 接 或 问接 地 向其他 主体 转 让 访 问权 限 。其优 点是 实现 简单 , 适用 规模 较 小 的轻量 级
2 0 1 4年第 3期
文章编号 : 1 0 0 6 — 2 4 7 5 ( 2 0 1 4 ) 0 3 - 0 1 7 7 - 0 3
计 算 机 与 现 代 化 J I S U A N J I Y U X I A N D A I H U A
总第 2 2 3期
J a v a We b通 用 用 户 权 限管理 框 架 设 计 与 实 现
用户管理功 能 , 角色管理功 能和资源管理功能 。该 系统 采用 J a v a E E 自身的服 务 , 提 高 系统 的可重用性 , 在 用户和资源间
引入 角 色 , 减 少用户工作量。
关键词 : 角 色 ;资 源 ; Mo d e l 2; R B A C 中 图分 类 号 : T P 3 9 3 . 0 8 文献标识码 : A d o i :1 0 . 3 9 6 9 / j . i s s n . 1 0 0 6 - 2 4 7 5 . 2 0 1 4 . 0 3 . 0 4 2
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键字: 用户权限管理B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。
因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。
下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。
需求陈述∙不同职责的人员,对于系统操作的权限应该是不同的。
优秀的业务系统,这是最基本的功能。
∙可以对“组”进行权限分配。
对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。
所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。
∙权限管理系统应该是可扩展的。
它应该可以加入到任何带有权限管理功能的系统中。
就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。
∙满足业务系统中的功能权限。
传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。
关于设计借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。
为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。
我们先来分析一下数据库结构:首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。
如下图:这三个表之间的关系是多对多的,一个权限可能同时属于多个管理组,一个管理组中也可能同时包含多个权限。
同样的道理,一个人员可能同时属于多个管理组,而一个管理组中也可能同时包含多个人员。
如下图:由于这三张表之间存在着多对多的关系,那么它们之间的交互,最好使用另外两张表来完成。
而这两张表起着映射的作用,分别是“actiongroup”表(以下简称“权限映射表”)和“mastergroup”表(以下简称“人员映射表”),前者映射了权限表与管理组表之间的交互。
后者映射了人员表与管理组表之间的交互。
如下图:另外,还需要一张表来控制系统运行时左侧菜单中的权限分栏,也就是“权限分栏表”,如下图:根据上面的分析,我们进行数据库结构设计,如下图:点击这里查看权限管理系统数据表字段设计为了能够进行良好的分析,我们将数据库结构图拆分开来,三张实体表的作用已经很清晰,现在我们来看一下两张映射表的作用。
一权限映射表如下图:首先,我们来了解一下权限映射表与管理组表以及权限表之间的字段关联。
看图中的红圈,先看gorupid字段相关联,这种关联方式在实际数据库中的表现如下图:如图中所示,管理组表中“超级管理员”的groupid为1,那么权限映射表中groupid为1的权限也就是“超级管理员”所拥有的权限。
使用groupid字段关联,是为了查到一个管理组能够执行的权限有哪些。
但这些权限的详细信息却是action字段关联所查询到的。
action字段相关联在数据库中的表现如下图:通过这种关联,才查询到权限映射表之中那些权限的详细信息。
综合起来,我们就知道了一个管理组可以执行的权限有哪些,以及这些权限的详细信息是什么。
或许你会问,为什么不使用actionid字段相关联呢?因为:∙权限表中的id字段在经过多次的数据库操作之后可能会发生更改。
∙权限映射表中仅仅记录着一个管理组可以执行的权限。
∙一旦权限表中的id更改,那么权限映射表中的记录也就更改了。
∙一个管理组可以执行的权限势必将出错,这是非常不希望的。
考虑到上面的情况,所以应该使用action字段相关联,因为:∙在权限表中,id可能发生变化,而action字段却是在任何情况下也不可能发生变化的。
∙权限映射表中记录的action字段也就不会变。
∙一个管理组可以执行的权限就不会出错了。
二人员映射表如下图:我们来了解一下人员映射表与管理组表以及人员表之间的字段关联,如下图:看图中的红圈部分,先看groupid字段关联,这种关联方式在数据库中的表现如下图:如图,“超级管理员”组的groupid为1,我们再看人员映射表,admin属于超级管理员组,而administrator属于超级管理员组,同时也属于管理员组。
使用这种关联方式,是为了查到一个管理组中的人员有谁。
和上面一样,人员的详细信息是靠id字段(人员映射表中是masterid字段)关联查询到的。
id字段(人员映射表中是masterid字段)关联表现在数据库中的形式如下图:一个人员可能同时属于多个“管理组”,如图中,administrator就同时属于两个“管理组”。
所以,在人员映射表中关于administrator的记录就会是两条。
这种关联方式才查询到管理组中人员的详细信息有哪些。
综合起来,才可以知道一个管理组中的人员有谁,以及这个人员的详细信息。
再结合上面谈到的权限表和权限映射表,就实现了需求中的“组”操作,如下图:其实,管理组表中仅仅记录着组的基本信息,如名称,组id等等。
至于一个组中人员的详细信息,以及该组能够执行的权限的详细信息,都记录在人员表和权限表中。
两张映射表才真正记录着一个组有哪些人员,能够执行哪些权限。
通过两张映射表的衔接,三张实体表之间的交互才得以实现,从而完成了需求中提到的“组”操作。
我们再来看一下权限分栏表与权限表之间的交互。
这两张表之间的字段关联如下图:两张表使用了actioncolumnid字段相关联,这种关联方式在数据库中的表现如下图:如图所示,通过这种关联方式,我们可以非常清晰的看到权限表中的权限属于哪个分栏。
现在,数据库结构已经很清晰了,分配权限的功能以及“组”操作都已经实现。
下面我们再来分析一下需求中提到的关于权限管理系统的重用性问题。
为什么使用这种数据库设计方式搭建起来的系统可以重用呢?∙三张实体表中记录着系统中的三个决定性元素。
“权限”,“组”和“人”。
而这三种元素可以任意添加,彼此之间不受影响。
无论是那种类型的业务系统,这三个决定性元素是不会变的,也就意味着结构上不会变,而变的仅仅是数据。
∙两张映射表中记录着三个元素之间的关系。
但这些关系完全是人为创建的,需要变化的时候,只是对数据库中的记录进行操作,无需改动结构。
权限分栏表中记录着系统使用时显示的分栏。
无论是要添加分栏,修改分栏还是减少分栏,也只不过是操作记录而已。
综上所述,这样设计数据库,系统是完全可以重用的,并且经受得住“变更”考验的。
总结:此套系统的重点在于,三张实体表牢牢地抓住了系统的核心成分,而两张映射表完美地映射出三张实体表之间的交互。
其难点在于,理解映射表的工作,它记录着关系,并且实现了“组”操作的概念。
而系统总体的设计是本着可以在不同的MIS系统中“重用”来满足不同系统的功能权限设置。
附录:权限管理系统数据表的字段设计下面我们来看看权限管理系统的数据库表设计,共分为六张表,如下图:action表:action表中记录着系统中所有的动作,以及动作相关描述。
actioncolumn表:actioncolumn表中记录着动作的分栏,系统运行时,左侧菜单栏提供了几块不同的功能,每一块就是一个分栏,每添加一个分栏,该表中的记录就会增加一条,相对应的,左侧菜单栏中也会新增机一个栏。
actiongroup表:actiongroup表记录着动作所在的组。
groupmanager表:groupmanager表记录着管理组的相关信息,每添加一个管理组,这里的记录就会增加一条。
mastergroup表:mastergroup表记录着管理员所在的管理组,由于一名管理员可能同同时属于多个组,所以该表中关于某一名管理员的记录可能有多条。
master表:master表记录着所有管理员的信息,每添加一个管理员,该表就会增加一条记录。
权限管理及其实现思路●需求:oa系统包含众多模块,要求能够通过权限管理,控制不同用户对模块的访问权限,而且需要控制到(增删改查)CRUD操作的级别。
要求能通过角色对用户进行统一授权,在某些特殊情况下,能够单独对用户进行授权。
●分析⏹概念模型●设计:⏹在用户与角色的关系中,以用户为主来进行设计符合客户的使用习惯,即“将多个角色授予某个用户(让用户拥有多个角色)”,比“将多个用户添加到某个角色上”更加让人容易理解。
⏹模块的授权以针对角色为主,即大部分的情况下,针对角色来分配模块的权限⏹一旦根据角色划分好权限之后,就可以进行用户的创建工作,同时可以给用户分配角色(可以为多个),用户将拥有其所属角色的所有权限(这样就达到了统一控制的目的)⏹由于一个用户可以拥有多个角色,系统无法对角色的授权进行控制(或者说无需对其授权进行控制,因为为了给客户提供更大的灵活性),所以很有可能出现授权有冲突的多个角色被授予同一个用户的情况,比如:角色A对模块A有删除权限,但角色B对模块A的删除权限则被禁止,这时候,如果将角色A和角色B同时授予用户A,则会造成困扰,究竟用户A对模块A的删除权限是允许还是不允许?它应该是以角色A的授权为准,还是应该以角色B的授权为准?针对这个问题,可以考虑如下解决办法:◆第一种解决办法是:如果多个角色之间有授权冲突,则不允许将这些角色同时授予同一个用户,比如,在上述例子中,不允许将角色A和角色B同时授予用户A◆第二种解决办法是:允许将有授权冲突的角色同时授予同一个用户,但用户在某个时刻只能扮演其中的某个角色。
在用户登陆后台管理界面之后,可以通过切换角色,来执行不同的操作!◆第三种解决办法是:允许将有授权冲突的角色同时授予同一个用户,对用户的这些角色来说,有优先级的概念,当将角色分配给用户的时候,应该设置它的优先级。
同一个角色在不同的用户那里可能具有不同的优先级。
当授权有冲突的时候,以优先级更高的角色授权为准。
◆第一种解决办法限制太死,不够灵活;第二种解决办法,客户的反馈是不够方便(需要不断切换);因此本设计方案将采取第三种解决办法⏹至此,用户与角色之间的设计思路便清晰起来:⏹再来看授权,可以把模块的增删改查操作授予某个角色或用户,并设置为允许或禁止此操作。
我们可以考虑使用授权控制列表来存储授权信息。