我们在开发系统的时候,经常会遇到系统需要权限控制,而权限的控制程度不同有不同的设计方案。
1. 基于角色的权限设计
这种方案是最常见也是比较简单的方案,不过通常有这种设计已经够了,所以微软就设计出这种方案的通用做法,这种方案对于每一个操作不做控制,只是在程序中根据角色对是否具有操作的权限进行控制;这里我们就不做详述
2. 基于操作的权限设计
这种模式下每一个操作都在数据库中有记录,用户是否拥有该操作的权限也在数据库中有记录,结构如下:
但是如果直接使用上面的设计,会导致数据库中的UserAction这张表数据量非常大,所以我们需要进一步设计提高效率,请看方案3
3. 基于角色和操作的权限设计
如上图所示,我们在添加了Role,和RoleAction表,这样子就可以减少UserAction中的记录,并且使设计更灵活一点。
但是这种方案在用户需求的考验之下也可能显得不够灵活够用,例如当用户要求临时给某位普通员工某操作权限时,我们就需要新增加一种新的用户角色,但是这种用户角色是不必要的,因为它只是一种临时的角色,如果添加一种角色还需要在收回此普通员工权限时删除此角色,我们需要设计一种更合适的结构来满足用户对权限设置的要求。
4. 2,3组合的权限设计,其结构如下:
我们可以看到在上图中添加了UserAction表,使用此表来添加特殊用户的权限,改表中有一个字段HasPermission可以决定用户是否有某种操作的权限,改表中记录的权限的优先级要高于UserRole中记录的用户权限。这样在应用程序中我们就需要通过UserRole和UserAction两张表中的记录判断权限。
到这儿呢并不算完,有可能用户还会给出这样的需求:对于某一种action所操作的对象某一些记录会有权限,而对于其他的记录没有权限,比如说一个内容管理系统,对于某一些频道某个用户有修改的权限,而对于另外一些频道没有修改的权限,这时候我们需要设计更复杂的权限机制。
5. 对于同一种实体(资源)用户可以对一部分记录有权限,而对于另外一些记录没有权限的权限设计:
对于这样的需求我们就需要对每一种不同的资源创建一张权限表,在上图中对Content和Channel两种资源分别创建了UserActionContent和UserActionChannel表用来定义用户对某条记录是否有权限;这种设计是可以满足用户需求的但是不是很经济,UserActionChannel和UserActionContent中的记录会很多,而在实际的应用中并非需要记录所有的记录的权限信息,有时候可能只是一种规则,比如说对于根Channel什么级别的人有权限;这时候呢我们就可以定义些规则来判断用户权限,下面就是这种设计。
6. 涉及资源,权限和规则的权限设计
在这种设计下角色的概念已经没有了,只需要Rule在程序中的类中定义用户是否有操作某种对象的权限。
以上只是分析思路,如果有不对的地方,请大家指正。
分享到:
相关推荐
通用权限管理设计篇,设计说明,数据库说明
为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系
基于RBAC权限管理数据库表设计
权限管理设计的一点小心得。权限管理设计的一点小心得。权限管理设计的一点小心得
几种网站权限管理的设计,几种网站权限管理的设计。
数据库设计权限管理图 数据库设计权限管理图 数据库设计权限管理图 数据库设计权限管理图 数据库设计权限管理图 数据库设计权限管理图 数据库设计权限管理图
权限管理设计方法 权限管理设计方法 权限管理设计方法 权限管理设计方法 权限管理设计方法
java系统权限管理设计,详细讲解了权限管理的设计和逻辑关系,以及表结构
该文档为通用权限设计方案,其中通过分析用户、组、角色、权限等四个对象之间的关系具体描述权限设计的大致思路。
基于角色的权限管理数据库设计。内有建表语句及测试语句。
权限管理设计方案权限管理设计方案.doc权限管理设计方案.doc权限管理设计方案.doc权限管理设计方案.doc
通用角色权限管理系统设计 因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。 权限系统一直以来是我们应用系统不可缺少的一个部分,若每...
通用权限管理系统设计篇 通用权限管理系统设计篇
一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案
权限,系统管理,权限设计,权限数据库详细设计,很详细的权限管理设计
权限管理及数据库设计 权限管理及数据库设计 最新设计的
用户认证管理权限设计方案
权限管理,角色管理,组管理,菜单管理以及权限组。
权限管理数据库设计文档,提供全面的数据库设计详情,请下载!
用户权限管理系统,是PPT,可以了解用户权限管理系统的设计。仅供学习。