系统权限管理设计
2016-07-12 14:41
232 查看
一.引言
因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。
权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。
二.设计目标
设计一个灵活、通用、方便的权限管理系统。
在这个系统中,我们需要对系统的所有资源进行权限控制,那么系统中的资源包括哪些呢?我们可以把这些资源简单概括为静态资源(功能操作、数据列)和动态资源(数据),也分别称为对象资源和数据资源,后者是我们在系统设计与实现中的叫法。
系统的目标就是对应用系统的所有对象资源和数据资源进行权限控制,比如应用系统的功能菜单、各个界面的按钮、数据显示的列以及各种行级数据进行权限的操控。
三.相关对象及其关系
大概理清了一下权限系统的相关概念,如下所示:
1. 权限
系统的所有权限信息。权限具有上下级关系,是一个树状的结构。下面来看一个例子
系统管理
用户管理
查看用户
新增用户
修改用户
删除用户
对于上面的每个权限,又存在两种情况,一个是只是可访问,另一种是可授权,例如对于“查看用户”这个权限,如果用户只被授予“可访问”,那么他就不能将他所具有的这个权限分配给其他人。
2. 用户
应用系统的具体操作者,用户可以自己拥有权限信息,可以归属于0~n个角色,可属于0~n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系都是n对n的关系。
3. 角色
为了对许多拥有相似权限的用户进行分类管理,定义了角色的概念,例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系,可以形成树状视图,父级角色的权限是自身及它的所有子角色的权限的综合。父级角色的用户、父级角色的组同理可推。
4. 组
为了更好地管理用户,对用户进行分组归类,简称为用户分组。组也具有上下级关系,可以形成树状视图。在实际情况中,我们知道,组也可以具有自己的角色信息、权限信息。这让我想到我们的QQ用户群,一个群可以有多个用户,一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ群也可以具有自己的角色信息,例如普通群、高级群等。
针对上面提出的四种类型的对象,让我们通过图来看看他们之间的关系。
有上图中可以看出,这四者的关系很复杂,而实际的情况比这个图还要复杂,权限、角色、组都具有上下级关系,权限管理是应用系统中比较棘手的问题,要设计一个通用的权限管理系统,工作量也着实不小。
当然对于有些项目,权限问题并不是那么复杂。有的只需要牵涉到权限和用户两种类型的对象,只需要给用户分配权限即可。
在另一些情况中,引入了角色对象,例如基于角色的权限系统, 只需要给角色分配权限,用户都隶属于角色,不需要单独为用户分配角色信息。
通用权限管理设计篇(二)——数据库设计
国庆前整的通用权限设计的数据库初步设计部分,现在贴上来。
理清了对象关系之后,让我们接着来进行数据库的设计。在数据库建模时,对于N对N的
关系,一般需要加入一个关联表来表示关联的两者的关系。初步估计一下,本系统至少需要十张表,分别为:权限表、用户表、角色表、组表、用户权限关联表、用
户角色关联表、角色权限关联表、组权限关联表、组角色关联表、用户属组关联表。当然还可能引出一些相关的表。下面让我们在PowerDesigner中画出各表吧。
各表及其关系如下:
1. 用户表
2. 角色表
3. 权限表
4. 组表
5. 角色权限表
6. 组权限表
7. 组角色表
8. 用户权限表
9. 用户角色表
10. 用户组表
11. 组织表
12. 操作日志表
总体设计思路是将系统分为组权限管理、角色权限管理、用户权限管理、组织管理和操作日志管理五部分。
其中组权限管理包括包含用户、所属角色、组权限资源和组总权限资源四部分,某个组的权限信息可用公式表示:组权限 = 所属角色的权限合集 + 组自身的权限。
角色权限管理包括包含用户、包含组和角色权限三部分,某个角色的权限的计算公式为:角色权限 = 角色自身权限。
用户权限管理包括所属角色、所属组、用户权限、用户总权限资源和组织管理五部分。某个用户总的权限信息存在如下计算公式:用户权限 = 所属角色权限合集 + 所属组权限合集 + 用户自身权限。
组织管理即对用户所属的组织进行管理,组织以树形结构展示,组织管理具有组织的增、删、改、查功能。
操作日志管理用于管理本系统的操作日志。
注意:因为组和角色都具有上下级关系,所以下级的组或角色的权限只能在自己的直属上级的权限中选择,下级的组或者角色的总的权限都不能大于直属上级的总权限。
因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。
权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。
二.设计目标
设计一个灵活、通用、方便的权限管理系统。
在这个系统中,我们需要对系统的所有资源进行权限控制,那么系统中的资源包括哪些呢?我们可以把这些资源简单概括为静态资源(功能操作、数据列)和动态资源(数据),也分别称为对象资源和数据资源,后者是我们在系统设计与实现中的叫法。
系统的目标就是对应用系统的所有对象资源和数据资源进行权限控制,比如应用系统的功能菜单、各个界面的按钮、数据显示的列以及各种行级数据进行权限的操控。
三.相关对象及其关系
大概理清了一下权限系统的相关概念,如下所示:
1. 权限
系统的所有权限信息。权限具有上下级关系,是一个树状的结构。下面来看一个例子
系统管理
用户管理
查看用户
新增用户
修改用户
删除用户
对于上面的每个权限,又存在两种情况,一个是只是可访问,另一种是可授权,例如对于“查看用户”这个权限,如果用户只被授予“可访问”,那么他就不能将他所具有的这个权限分配给其他人。
2. 用户
应用系统的具体操作者,用户可以自己拥有权限信息,可以归属于0~n个角色,可属于0~n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系都是n对n的关系。
3. 角色
为了对许多拥有相似权限的用户进行分类管理,定义了角色的概念,例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系,可以形成树状视图,父级角色的权限是自身及它的所有子角色的权限的综合。父级角色的用户、父级角色的组同理可推。
4. 组
为了更好地管理用户,对用户进行分组归类,简称为用户分组。组也具有上下级关系,可以形成树状视图。在实际情况中,我们知道,组也可以具有自己的角色信息、权限信息。这让我想到我们的QQ用户群,一个群可以有多个用户,一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ群也可以具有自己的角色信息,例如普通群、高级群等。
针对上面提出的四种类型的对象,让我们通过图来看看他们之间的关系。
有上图中可以看出,这四者的关系很复杂,而实际的情况比这个图还要复杂,权限、角色、组都具有上下级关系,权限管理是应用系统中比较棘手的问题,要设计一个通用的权限管理系统,工作量也着实不小。
当然对于有些项目,权限问题并不是那么复杂。有的只需要牵涉到权限和用户两种类型的对象,只需要给用户分配权限即可。
在另一些情况中,引入了角色对象,例如基于角色的权限系统, 只需要给角色分配权限,用户都隶属于角色,不需要单独为用户分配角色信息。
通用权限管理设计篇(二)——数据库设计
国庆前整的通用权限设计的数据库初步设计部分,现在贴上来。
理清了对象关系之后,让我们接着来进行数据库的设计。在数据库建模时,对于N对N的
关系,一般需要加入一个关联表来表示关联的两者的关系。初步估计一下,本系统至少需要十张表,分别为:权限表、用户表、角色表、组表、用户权限关联表、用
户角色关联表、角色权限关联表、组权限关联表、组角色关联表、用户属组关联表。当然还可能引出一些相关的表。下面让我们在PowerDesigner中画出各表吧。
各表及其关系如下:
1. 用户表
用户表(TUser) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | tu_id | bigint | pk, not null |
所属组织 | to_id | bigint | fk, not null |
登录帐号 | login_name | varchar(64) | not null |
用户密码 | password | varchar(64) | not null |
用户姓名 | vsername | varchar(64) | not null |
手机号 | mobile | varchar(20) | |
电子邮箱 | email | varchar(64) | |
创建时间 | gen_time | datetime | not null |
登录时间 | login_time | datetime | |
上次登录时间 | last_login_time | datetime | |
登录次数 | count | bigint | not null |
角色表(TRole) | |||
字段名称 | 字段 | 类型 | 备注 |
角色ID | tr_id | bigint | pk, not null |
父级角色ID | parent_tr_id | bigint | not null |
角色名称 | role_name | varchar(64) | not null |
创建时间 | gen_time | datetime | not null |
角色描述 | description | varchar(200) |
权限表(TRight) | |||
字段名称 | 字段 | 类型 | 备注 |
权限ID | tr_id | bigint | pk, not null |
父权限 | parent_tr_id | bigint | not null |
权限名称 | right_name | varchar(64) | not null |
权限描述 | description | varchar(200) |
组表(TGroup) | |||
字段名称 | 字段 | 类型 | 备注 |
组ID | tg_id | bigint | pk, not null |
组名称 | group_name | varchar(64) | not null |
父组 | parent_tg_id | bigint | not null |
创建时间 | gen_time | datetime | not null |
组描述 | description | varchar(200) |
角色权限表(TRoleRightRelation) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | trr_id | bigint | pk, not null |
角色 | Role_id | bigint | fk, not null |
权限 | right_id | bigint | fk, not null |
权限类型 | right_type | int | not null(0:可访问,1:可授权) |
组权限表(TGroupRightRelation) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | tgr_id | bigint | pk, not null |
组 | tg_id | bigint | fk, not null |
权限 | tr_id | bigint | fk, not null |
权限类型 | right_type | int | not null(0:可访问,1:可授权) |
组角色表(TGroupRoleRelation) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | tgr_id | bigint | pk, not null |
组 | tg_id | bigint | fk, not null |
角色 | tr_id | bigint | pk, not null |
用户权限表(TUserRightRelation) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | tur_id | bigint | pk, not null |
用户 | tu_id | bigint | fk, not null |
权限 | tr_id | bigint | fk, not null |
权限类型 | right_type | int | not null(0:可访问,1:可授权) |
用户角色表(TUserRoleRelation) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | tur_id | bigint | pk, not null |
用户 | tu_id | bigint | fk, not null |
角色 | tr_id | bigint | fk, not null |
用户组表(TUserGroupRelation) | |||
字段名称 | 字段 | 类型 | 备注 |
记录标识 | tug_id | bigint | pk, not null |
用户 | tu_id | bigint | fk, not null |
组 | tg_id | bigint | fk, not null |
组织表(TOrganization) | |||
字段名称 | 字段 | 类型 | 备注 |
组织id | to_id | bigint | pk, not null |
父组 | parent_to_id | bigint | not null |
组织名称 | org_name | varchar(64) | not null |
创建时间 | gen_time | datetime | not null |
组织描述 | description | varchar(200) |
操作日志表(TLog) | |||
字段名称 | 字段 | 类型 | 备注 |
日志ID | log_id | bigint | pk, not null |
操作类型 | op_type | int | not null |
操作内容 | content | varchar(200) | not null |
操作人 | tu_id | bigint | fk, not null |
操作时间 | gen_time | datetime | not null |
其中组权限管理包括包含用户、所属角色、组权限资源和组总权限资源四部分,某个组的权限信息可用公式表示:组权限 = 所属角色的权限合集 + 组自身的权限。
角色权限管理包括包含用户、包含组和角色权限三部分,某个角色的权限的计算公式为:角色权限 = 角色自身权限。
用户权限管理包括所属角色、所属组、用户权限、用户总权限资源和组织管理五部分。某个用户总的权限信息存在如下计算公式:用户权限 = 所属角色权限合集 + 所属组权限合集 + 用户自身权限。
组织管理即对用户所属的组织进行管理,组织以树形结构展示,组织管理具有组织的增、删、改、查功能。
操作日志管理用于管理本系统的操作日志。
注意:因为组和角色都具有上下级关系,所以下级的组或角色的权限只能在自己的直属上级的权限中选择,下级的组或者角色的总的权限都不能大于直属上级的总权限。
相关文章推荐
- MYSQL 用instr来做匹配查询
- 一个统计PHP代码行数的小代码
- mysql密码忘记了怎么修改
- ExpandablelistView+swipeLayout 滑动删除
- Codeforces Round #320 (Div. 2) [Bayan Thanks-Round] D 前缀后缀维护
- android studio弹出窗口太大,超过屏幕的底边框,无法点击下面的按钮
- 在linux中挂载盘/格式化磁盘
- 欢迎大镇在ChinaUnix博客安家!
- web基础概念
- react-native-ViewPagerAndroid
- mybatis学习笔记(九)一对一关联表查询
- 简易上传文件管理系统
- java中的三种取整函数
- C语言入门(十八)数组和指针
- Qt4_WebKit_例子
- C/C++中如何在main()函数之前执行一条语句?
- mac
- ros-indigo-desktop-full安装到ubuntu14.04
- socket编程(十)a'c'cept()
- QR分解