基于RBAC模型的通用權限管理系統的設計（轉）

基于RBAC模型的通用權限管理系統的設計

關鍵字: 設計思路

通用資料權限管理系統設計（一）

前言：

 本文提供一種內建功能權限和資料權限的解決方法，以滿足多層次組織中權限管理方面的集中控制。本方法是RBAC（基于角色的通路控制方法）的進一步擴充和延伸，即在功能權限的基礎上增加資料權限的管理，實作資料權限和功能權限的集中處理。

解釋：

 功能權限：能做什麼的問題，如增加銷售訂單；

 資料權限：能在哪裡幹什麼的問題，如察看北京分公司海澱銷售部張三的銷售訂單；

術語：

 資源：系統中的資源，主要是各種業務對象，如銷售單、付款單等；

 操作類型：對資源可能的通路方法，如增加、删除、修改等；

 功能：對資源的操作，是資源與操作類型的二進制組，如增加銷售單、修改銷售單等；

 資料類型：業務系統中常用的資料權限類型，如公司、部門、項目、個人等；

 資料對象：具體的業務對象，如甲公司、乙部門等等，包括所有涉及到資料權限的對象值；

 權限：角色可使用的功能，分角色的功能權限和角色的資料權限；

 角色：特定權限的集合；

 使用者：參與系統活動的主體，如人，系統等。

通用資料權限管理系統設計（二）

方法說明：

 在實際應用中，資料權限的控制點一般相對固定，如針對公司、部門、個人、客戶、供應商等，也就是說資料權限一般針對指定資料類型下的一些資料對象。

 本方法中，資料權限的依賴于功能權限，是對功能權限的進一步描述，說明角色在指定的功能點上的資料控制權限。

本方法中采用“沒有明确規定即視為有效”的原則，如果沒有定義功能的資料權限，則說明該角色具有該功能的全部的權限。如果定義了功能的某種類型的資料權限，則該使用者隻具有該類型下指定資料的資料權限。

 這段話比較繞口，下面舉個例子實際例子。

 某公司有北京銷售部、上海銷售部和廣州銷售部三個銷售部，現在需要定義幾種角色：

    銷售總監      -- 能察看所有銷售部的銷售訂單；

    北京銷售經理 -- 隻能察看北京銷售部的所有銷售訂單；

    上海銷售經理 -- 隻能察看上海銷售部的所有銷售訂單； 

    廣州銷售經理 -- 隻能察看廣州銷售部的所有銷售訂單； 

 上述角色的定義如下：

     -------------------------------------------------------------------

     角色名稱             功能             資料類型     資料對象 

     -------------------------------------------------------------------

     銷售總監           察看銷售訂單                                

     北京銷售經理       察看銷售訂單         部門         北京 

     上海銷售經理       察看銷售訂單         部門         上海    

     廣州銷售經理       察看銷售訂單         部門         廣州    

     -------------------------------------------------------------------

    上述定義中，銷售總監隻定義了功能權限，而沒有定義資料權限，是以銷售總監能夠察看所有的銷售訂單；而其他幾位銷售經理分别定義了這一功能的資料權限，是以隻能察看指定部門的銷售訂單。

     在實際應用中，往往會出現部門分組，組長能夠察看本組所有人員處理的銷售訂單的情況，以及某些情況下，某些人隻能察看本人的銷售訂單的情況，這些特殊情況在上述的說明中無法解決，需要在設計和實作中進行處理。

    北京銷售代表 -- 隻能察看北京銷售部的本人的所有銷售訂單； 

     北京銷售代表         察看銷售訂單           部門            北京    

                                                 個人                 

通用資料權限管理系統設計（三）--資料庫設計

我們先來看看傳統的基于角色的權限管理系統，如下圖所示，最簡單的基于角色的權限管理由系統功能、系統角色、系統使用者、角色功能和使用者角色五部分組成。

圖一：基于角色的資料庫結構

為實作資料權限控制，在設計上對基于角色的權限管理進行擴充，如下圖所示：

圖二：通用資料權限管理系統資料庫設計 對比兩張圖，我們可以看到，他們之間的主要變化為： 1、  增加系統資源資訊和操作類型資訊，系統資源為樹形結構、如銷售子產品、銷售訂單等；操作類型記錄可能的操作，如增加、删除、修改、檢視、查詢等，系統功能是資源與操作類型的組合，對資源的操作就是系統功能。 2、  增加資料對象類型和資料對象兩張表，資料對象類型記錄系統中需要控制的對象類型，如部門、庫房、員工、客戶、供應商等；資料對象記錄各對象類型的對象執行個體，如北京銷售部、上海銷售部、張三、李四等等。（獨立儲存的好處後面會說到） 3、  增加系統資源與資料對象類型的關聯表（多對多），本表為配置表，說明某種資源可能需要的控制點，如銷售訂單與部門類型的關聯可能涉及到分部門配置設定權限；銷售訂單與客戶的關聯可能涉及到按客戶配置設定權限等等。 4、  增加資料對象與角色權限的關聯，這張表是真正最終實作資料權限管理的所在地。   通過這種設計，能夠最小化地減少對原有權限系統的更改，并且可以很靈活地增加資料的控制點。在産品化軟體的設計中使用，能夠靈活滿足客戶的需要。 轉自： http://gmf.iteye.com/blog/317088