权限项目总结（一）常用权限设计

权限管理中关于如何来设计的问题？可以转换为用户、角色、资源的设计，至多还可以配置一个用户组的概念。

权限的设计是为了满足系统在不同的用户在使用过程中，系统呈现给使用用户的资源(界面、功能等统称为资源)对于权限不同的用户是不一样的。

权限：可分为数据权限、资源权限。

1. 数据权限

用户A只能查看属于用户A的数据。例如：用户A登录某电商网站后，只能查看属于自己的订单记录，无权查看其它用户的订单。

2. 资源权限

用户A只能查看属于用户A对应权限的的文件、界面、按钮、表单。例如：普通用户是登录系统之后，无法查看系统管理界面的界面。

用户：囊括未注册，注册的用户。需要注意的是，很多时候都忽略这样一个情况，泛泛来讲就是只要是访问系统的主题均为用户。

对象：系统中可以被用户的访问的资源。例如：系统中按钮、表单、文件、功能等。

用户组：拥有共同角色的一类用户，例如学生。这个的存在省去了权限系统为每位用户逐一授权的繁琐过程，当然也增加了编程和开发的难度。

角色：拥有某些特定权限的。例如：管理员、超级管理员等。

无论是哪种的权限设计，大多是根据这几个实体以及实体之间的关系来分配权限、授权用户、分配角色。

RBAC96模型

RBAC(Role_Base_Authority_Control)，主要是围绕role来展开的，相比于传统设计，减少了用户和权限之间的耦合；并且对于权限扩展相对比较灵活；另外支持多管理员的分布式管理。最基本的RBAC设计是最为简单权限设计，下图为该设计的图解。

图中，最基本的三元素：用户、角色、权限。较为通用，能够适应最为基本的权限需求。

1.用户和角色是多对多的关系。一个用户可以对应多个角色，一个角色同样可以赋给多个用户。

el：项目开发过程中，员工A可以是项目组长，也可以为开发者。同样对于开发者这样一个角色的员工，也会存在多个。

2.角色和权限同为多对多关系。一个角色可以被赋值多个权限，同种权限也可以赋给多种角色。

el：论坛系统中管理员可以管理论坛的模块的权限，可以管理论坛内评论的权限。同样管理论坛这样一个权限，也存在于管理员和超级管理员这样的角色。

以上为最为基本的RBAC96模型权限设计，RBAC1和RBAC2、RBAC3都是基于RBAC0的基础上去增加了一系列的规则来更加丰富和完善权限设计。

RBAC1：在RBAC0的基础上，增加了角色继承的补充。也就是角色之间存在上下级的关系，对应到实体设计中也就是角色实体的自身关联。体现在设计中，角色应该呈现树形结构。

RBAC2：RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。
强制性规则分为 职责分离约束（SOD）、预请求约束、基数约束。

RBAC3：则是在结合RBAC1和RBAC2的基础上，综合的角色访问控制模型。

如图：基本的RBAC模型，而RBAC96模型中，会话则是针对用户以及角色来授权或者称为激活权限。可以发现，用户以及用户组、权限这几个实体都是围绕着角色来展开的。而其中这些模型的分类都是在RBAC0的基础上做出的完善。

如图user和usergroup为多对多的关系，user和role为多对多关系，usergroup和role为多对多的关系，role和application也应为多对多的关系，图中没有显示。

在实际设计的过程中，在RBAC的基础上还会根据具体的需求来穿插着关于权限的一些设计原则，如：最小权限设计原则，职责分离原则。

资料参考：

http://www.cnblogs.com/couhujia/archive/2010/09/13/1824605.html 
http://www.cnblogs.com/leoxie2011/archive/2011/05/19/2050626.html
最小权限原则：http://www.doc88.com/p-770492289780.html 
静态职责分离：http://www.doc88.com/p-2344397074391.html 
ACL权限控制：http://blog.csdn.net/javaman_chen/article/details/8136587