高级权限管理系统的设计
---- 基于角色+模块的权限控制管理实现
本文实现功能:实现基于角色+模块+权限粒度的权限管理
相关概念:
(1)角色:是一类功能的集合,比如新闻编辑这个角色,他可能有起草新闻、编辑新闻等功能集合,而责任编辑他可能就有更多的权限,比如除了新闻编辑的功能,还有审核新闻、删除新闻等粒度级别操作;这个可以理解为程序设计中的组.
(2)权限粒度:它是最小的单位,比如起草新闻、编辑新闻、审核新闻、删除新闻等
(3)用户:就是一个系统的最终使用用户(包括管理人员和被管理人员)
(4)资源:管理的对象
下面模拟对一个信息系统的控制数据:
(图一. 权限示意图)
用户信息表:
|
UserID |
UserName |
|
U1 |
张三 |
|
U2 |
李四 |
角色表:
|
RoleID |
RoleName |
|
R1 |
新闻编辑 |
|
R2 |
责任编辑 |
角色用户表:
|
RoleID |
UserID |
|
R1 |
U1 |
|
R2 |
U2 |
权限粒度表:
|
PrivilegeID |
ResourceType |
PrivilegeTitle |
|
P1 |
NTA |
起草新闻:分类A |
|
P2 |
NTA |
编辑新闻:分类A |
|
P3 |
NTA |
审核新闻:分类A |
|
P4 |
NTA |
删除新闻:分类A |
|
P1 |
NTB |
起草新闻:分类B |
|
P2 |
NTB |
编辑新闻:分类B |
|
P3 |
NTB |
审核新闻:分类B |
|
P4 |
NTB |
删除新闻:分类B |
注意:这个表里面添加有资源(模块)信息
角色权限表:
|
RoleID |
PrivilegeID |
|
R1 |
P1 |
|
R1 |
P2 |
|
R2 |
P1 |
|
R2 |
P2 |
|
R2 |
P3 |
|
R2 |
P4 |
判断一个用户具有某个模块权限实现:
#获取权限(Privileges)的语句:
Select PrivilegeID + `,` + ResourceType From 角色权限表 Where RoleID In (Select RoleID From 用户角色表 Where UserID='U1')
#权限的判断
Privileges.Contain('F1,NTA');
在新添加一个分类的时候,同时也在权限表中增加相应的记录(当然不是在数据库里面直接添加,由和权限相关的函数来添加)。
使用这种解决方案可以简单地对有分类的应用(比如论坛系统)的每个分类实行不同的控制(比如VIP板块,就只能拥有VIP角色的用户才能浏览、发表等,而其他板块只要是注册用户就可以使用了)。
在实际应用中PrivilegeID并不是随便的一个字符串,而是进行了编码,其编码中包含了模块ID以及能够体现出父子关系,举个例子来说:对于论坛系统,我们给它一个模块ID为”30”,论坛的权限我们先分成2类,一类是管理类(比如删除帖子),一类是使用类(比如发帖、回帖、浏览帖子等),给管理类一个编码:01,使用类一个编码:02,我们就对PrivilegeID进行如下的编码:
300101:删除帖子
300201:发帖
300202:回帖
300203:浏览帖子
对于资源(比如某个板块1,板块的ID为:01),我们可以组合出如下的Privileges(当然这个组合你也可以不用逗号分隔,用其他的组合方式也可以,不过不要产生歧义):
300101,01:板块1删除帖子的功能
300201,01:板块1发帖的功能
……
对于RoleID也是采用的编码方式,也能体现角色的父子关系,也可以实现角色功能的继承等(当然获取角色功能列表的SQL语句就不是现在这么简单了)。在我现在的应用里面没有实现角色的继承(虽然角色的编码体现出了角色的父子关系)。