关于系统中权限和角色设计的问题

关于系统中权限和角色设计的问题


引子：权限设计一直都是WEB开发中的核心、重点、难点。根据角色显示系统菜单更是难上加难。本文针对这两点，结合成功案例和作者自己总结，希望对大家有所帮助。



系统中要求有赋予角色和赋予权限，现在系统想对某个用户的权限增加，并且增加的权限是大于用户的角色的，让该用户进去既能显示当前角色有的菜单也能看到新增的权限菜单，相关数据库表设计如下：

权限设计最少有 6 张表：

1，用户表 保存系统用户信息，如张三、李四，字段可以有id、name、fullname、email、phone、……

2，角色表 保存角色信息,如学生、管理员，字段有id、name、……

3，权限表 保存系统的权限信息，可定义系统哪些模块公开，或者什么时段可访问

4，用户角色表 关联用户和角色的关系表，如张三-学生，李四-管理员，字段有id、用户id、角色id，根据用户就知道所属的角色

5，角色权限表 关联角色和权限的关系表

6，用户权限表

一般来说第六张表用不到，但是你的需求会用到这张表。 查询每个用户拥有什么权限，得做两件事：1，从对应的用户中找出所有的角色；2，从对应的角色中找出所有的权限。然后将这些权限进行滤重就是该用户所拥有的权限。

对于超级管理员来说，只要设定一个 sys_admins 的角色就可以了，并不需要在角色权限中添加对应关系。

由于 sys_admins 拥有所有的权限，因此也没必要画蛇添足去添加这个角色的权限对应关系了。对于这个角色做特殊处理， 比如说先检查角色，如果角色中含有 sys_admins 就直接返回 true，以示拥有所有权限。





以下为针对角色菜单相关设计：

设置用户为多角色，各种角色权限综合为用户权限

数据库为角色表，用户表，菜单模块表，角色模块表



还可以直接给用户赋权限（不用通过给角色赋权限，然后给用户赋角色）

增加一个：用户权限表就可以啦。字段信息： 用户id, 权限id 。

这个非常简单。困难的是细粒度权限，也就是数据级权限。比如：

1 数据实例级别的访问控制。例如不同级别的审核员的审核不同金额的订单数据；

2 数据字段级别的访问控制。例如销售部所以员工都能查看客户信息，但只有该客户的客户经理才能够查看联系方式；

可以参考一下Metadmin产品，专门管理权限的。目前提供了试用版下载。地址是：www.metadmin.com



还有个《通用权限管理设计篇》，分析的也不错，有兴趣的朋友可以去看看，地址：http://sxiaomais.blog.163.com/blog/static/31741203200811102630406/