关于通用权限系统的一些设想

       由于一直以来都是在做信息管理系统一类的应用，从C/S到B/S结构，换了若干种语言，但权限系统总是必须的一个模块，可以做得简单也可以很复杂，主要还是看软件的构架、适用场景等因素，但有些概念还是通用的，那是否我们可以建立一个可以满足大多数信息系统的需要但又不是很复杂的权限系统模块？答案是肯定的。

       其实软件的需求总是无限的，把握好度很重要，对于一个通用模块，我们不必把它的需求考虑得十分全面周到，这样做出的东西太复杂，不便于推广和维护。必须承认，我们的思维大多时候是很有局限性的，所以太复杂的需求我们完全可以忽略，只要抓住最常用的需求来实现就可以了。

      因此，基于我自己写过的那些信息系统、所在行业和企业的实际需求，对于通用权限模块，我做了以下一些假设：（个人观点，勿喷

）

1、权限是种行为，是对于某个资源的访问、增删改等，可以表现为菜单、按钮、链接、业务逻辑判断等；

2、角色是权限的集合，是针对于某个权限集合取的一个名字；

3、角色不分上下级、即没有包含和被包含关系或者叫继承关系，如果事实上有这种包含关系的，也可以分别设置，搞继承太复杂了，一般用处也不大；

4、用户是指系统的登录者，可以拥有多个角色、其权限集是这几个角色的权限集的合集、当然管理员也可以为其特别指定某些权限；

5、用户组是数据的集合，是同一个模块下的数据集合的一个名字；用户组可以分级，即有继承关系，上级可以看到下级的数据；

6、一个用户仅属于一个用户组，由于涉及数据集合的继承，属于多个组的情况也是太复杂了，可以根据业务需求单独实现；

7、权限的分配管理统一进行，就不设置分级管理了，（需要调整权限的统一报系统维护部门吧，总不能让他们太闲吧

）

8、权限系统采用允许优先的原则，对于某个权限，如果不明确拒绝即为允许。

     通用权限模块的数据表，可以如下建立：



其中权限、角色和用户组的设置放在同一个表中（当然如果权限树太大，考虑到性能也可以分开）