我們比較常見的就是基于角色的訪問控制,用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)舌涨。簡單地說糯耍,一個(gè)用戶擁有多個(gè)角色,一個(gè)角色擁有多個(gè)權(quán)限囊嘉。這樣温技,就構(gòu)造成“用戶-角色-權(quán)限”的授權(quán)模型。在這種模型中扭粱,用戶與角色之間荒揣、角色與權(quán)限之間,通常都是多對(duì)多的關(guān)系焊刹。如下圖:
基于這個(gè)系任,得先了解角色到底是什么?我們可以理解它為一定數(shù)量的權(quán)限的集合虐块,是一個(gè)權(quán)限的載體俩滥。
例如:一個(gè)論壇的“管理員”、“版主”贺奠,它們都是角色霜旧。但是所能做的事情是不完全一樣的,版主只能管理版內(nèi)的貼子,用戶等挂据,而這些都是屬于權(quán)限以清,如果想要給某個(gè)用戶授予這些權(quán)限,不用直接將權(quán)限授予用戶崎逃,只需將“版主”這個(gè)角色賦予該用戶即可掷倔。
但是通過上面我們也發(fā)現(xiàn)問題了,如果用戶的數(shù)量非常大的時(shí)候个绍,就需要給系統(tǒng)的每一個(gè)用戶逐一授權(quán)(分配角色)勒葱,這是件非常繁瑣的事情,這時(shí)就可以增加一個(gè)用戶組巴柿,每個(gè)用戶組內(nèi)有多個(gè)用戶凛虽,除了給單個(gè)用戶授權(quán)外,還可以給用戶組授權(quán)广恢,這樣一來凯旋,通過一次授權(quán),就可以同時(shí)給多個(gè)用戶授予相同的權(quán)限钉迷,而這時(shí)用戶的所有權(quán)限就是用戶個(gè)人擁有的權(quán)限與該用戶所在組所擁有的權(quán)限之和至非。用戶組、用戶與角色三者的關(guān)聯(lián)關(guān)系如下圖:
通常在應(yīng)用系統(tǒng)里面的權(quán)限我們把它表現(xiàn)為菜單的訪問(頁面級(jí))篷牌、功能模塊的操作(功能級(jí))睡蟋、文件上傳的刪改,甚至頁面上某個(gè)按鈕枷颊、圖片是否可見等等都屬于權(quán)限的范疇戳杀。有些權(quán)限設(shè)計(jì),會(huì)把功能操作作為一類夭苗,而把文件信卡、菜單、頁面元素等作為另一類题造,這樣構(gòu)成“用戶-角色-權(quán)限-資源”的授權(quán)模型傍菇。而在做數(shù)據(jù)表建模時(shí),可把功能操作和資源統(tǒng)一管理界赔,也就是都直接與權(quán)限表進(jìn)行關(guān)聯(lián)丢习,這樣可能更具便捷性和易擴(kuò)展性。如下圖:
這里特別需要注意以下權(quán)限表中有一列“PowerType(權(quán)限類型)”淮悼,我們根據(jù)它的取值來區(qū)分是哪一類權(quán)限咐低,可以把它理解為一個(gè)枚舉,如“MENU”表示菜單的訪問權(quán)限袜腥、“OPERATION”表示功能模塊的操作權(quán)限见擦、“FILE”表示文件的修改權(quán)限、“ELEMENT”表示頁面元素的可見性控制等。
這樣設(shè)計(jì)的好處有兩個(gè):
一鲤屡、不需要區(qū)分哪些是權(quán)限操作损痰,哪些是資源,(實(shí)際上酒来,有時(shí)候也不好區(qū)分卢未,如菜單,把它理解為資源呢還是功能模塊權(quán)限呢役首?)尝丐;
二显拜、方便擴(kuò)展衡奥,當(dāng)系統(tǒng)要對(duì)新的東西進(jìn)行權(quán)限控制時(shí),我只需要建立一個(gè)新的關(guān)聯(lián)表“權(quán)限XX關(guān)聯(lián)表”远荠,并確定這類權(quán)限的權(quán)限類型字符串即可矮固。
需要注意的是,權(quán)限表與權(quán)限菜單關(guān)聯(lián)表譬淳、權(quán)限菜單關(guān)聯(lián)表與菜單表都是一對(duì)一的關(guān)系档址。(文件、頁面權(quán)限點(diǎn)邻梆、功能操作等同理)守伸。也就是每添加一個(gè)菜單,就得同時(shí)往這三個(gè)表中各插入一條記錄浦妄。
這樣尼摹,可以不需要權(quán)限菜單關(guān)聯(lián)表,讓權(quán)限表與菜單表直接關(guān)聯(lián)剂娄,此時(shí)蠢涝,須在權(quán)限表中新增一列用來保存菜單的ID,權(quán)限表通過“權(quán)限類型”和這個(gè)ID來區(qū)分是種類型下的哪條記錄阅懦。最后擴(kuò)展出來的模型完整設(shè)計(jì)如下圖:
注意上面我額外增加了一個(gè)操作日志表和二;
隨著系統(tǒng)的日益龐大,為了方便管理耳胎,如果有需要可引入角色組對(duì)角色進(jìn)行分類管理惯吕,跟用戶組不同,角色組不參與授權(quán)怕午。
例如:當(dāng)遇到有多個(gè)子公司废登,每個(gè)子公司下有多個(gè)部門,這是我們就可以把部門理解為角色诗轻,子公司理解為角色組钳宪,角色組不參于權(quán)限分配。另外,為方便上面各主表自身的管理與查找吏颖,可采用樹型結(jié)構(gòu)搔体,如菜單樹、功能樹等半醉,當(dāng)然這些可不需要參于權(quán)限分配疚俱。
數(shù)據(jù)字典:
1.用戶表:
2.角色表:
3.用戶與角色關(guān)聯(lián)表
4.用戶組表
5.用戶組與用戶信息關(guān)聯(lián)表
6.用戶組與角色關(guān)聯(lián)表
7.菜單表
8.頁面元素表
9.文件表
10.權(quán)限表
11.權(quán)限與菜單關(guān)聯(lián)表
12.權(quán)限與頁面元素關(guān)聯(lián)表
13.權(quán)限與文件關(guān)聯(lián)表
14.功能操作表
15.權(quán)限與功能操作關(guān)聯(lián)表
16.角色與權(quán)限關(guān)聯(lián)表
17.操作日志表
