一.引言
因為做過的一些系統的權限管理的功能雖然在逐步完善,但總有些不盡人意的地方,總想抽個時間來更好的思考一下權限系統的設計。
權限系統一直以來是我們應用系統不可缺少的一個部分,若每個應用系統都重新對系統的權限進行設計,以滿足不同系統用戶的需求,將會浪費我們不少寶貴時間,所以花時間來設計一個相對通用的權限系統是很有意義的。
二.設計目標
設計一個靈活、通用、方便的權限管理系統。
在這個系統中,我們需要對系統的所有資源進行權限控制,那么系統中的資源包括哪些呢?我們可以把這些資源簡單概括為靜態資源(功能操作、數據列)和動態資源(數據),也分別稱為對象資源和數據資源,后者是我們在系統設計與實現中的叫法。
系統的目標就是對應用系統的所有對象資源和數據資源進行權限控制,比如應用系統的功能菜單、各個界面的按鈕、數據顯示的列以及各種行級數據進行權限的操控。
三.相關對象及其關系
大概理清了一下權限系統的相關概念,如下所示:
1. 權限
系統的所有權限信息。權限具有上下級關系,是一個樹狀的結構。下面來看一個例子
系統管理
用戶管理
查看用戶
新增用戶
修改用戶
刪除用戶
對于上面的每個權限,又存在兩種情況,一個是只是可訪問,另一種是可授權,例如對于“查看用戶”這個權限,如果用戶只被授予“可訪問”,那么他就不能將他所具有的這個權限分配給其他人。
2. 用戶
應用系統的具體操作者,用戶可以自己擁有權限信息,可以歸屬于0~n個角色,可屬于0~n個組。他的權限集是自身具有的權限、所屬的各角色具有的權限、所屬的各組具有的權限的合集。它與權限、角色、組之間的關系都是n對n的關系。
3. 角色
為了對許多擁有相似權限的用戶進行分類管理,定義了角色的概念,例如系統管理員、管理員、用戶、訪客等角色。角色具有上下級關系,可以形成樹狀視圖,父級角色的權限是自身及它的所有子角色的權限的綜合。父級角色的用戶、父級角色的組同理可推。
4. 組
為了更好地管理用戶,對用戶進行分組歸類,簡稱為用戶分組。組也具有上下級關系,可以形成樹狀視圖。在實際情況中,我們知道,組也可以具有自己的角色信息、權限信息。這讓我想到我們的QQ用戶群,一個群可以有多個用戶,一個用戶也可以加入多個群。每個群具有自己的權限信息。例如查看群共享。QQ群也可以具有自己的角色信息,例如普通群、高級群等。
針對上面提出的四種類型的對象,讓我們通過圖來看看他們之間的關系。
有上圖中可以看出,這四者的關系很復雜,而實際的情況比這個圖還要復雜,權限、角色、組都具有上下級關系,權限管理是應用系統中比較棘手的問題,要設計一個通用的權限管理系統,工作量也著實不小。
當然對于有些項目,權限問題并不是那么復雜。有的只需要牽涉到權限和用戶兩種類型的對象,只需要給用戶分配權限即可。
在另一些情況中,引入了角色對象,例如基于角色的權限系統, 只需要給角色分配權限,用戶都隸屬于角色,不需要單獨為用戶分配角色信息。
在下一篇中,我們將講述權限管理的數據庫設計等內容。
歡迎各位拍磚或給出寶貴意見。
參考文章:應用程序權限設計
心情小站——權限相關