基于角色的权限管理

原创 2012年03月29日 17:39:22

摘要

本文在RBAC基本思想的基础上,增加资源权限的概念,设计了在企业应用系统中用户权限控制的一种具体的简单实现方法。

关键字 用户权限控制

名词解释

资源权限:资源指的是纳入企业应用的一切需要管理的信息实体,如进销存系统中的进货订单;资源权限则是系统将要在这些资源的基础上进行的访问使用权限的控制;



工作流:
工作流(Workflow),就是“业务过程的部分或整体在计算机应用环境下的自动化”
,它主要解决的是“使在多个参与者之间按照某种预定义的规则传递文档、
信息或任务的过程自动进行,从而实现某个预期的业务目标,或者促使此目标的实现

引言

企业应用系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control,自主访问控制模型)、MAC(Mandatory Access Control,强制访问控制模型)难以满足复杂的企业环境需求。因此,NIST(National Institute of Standards and Technology,美国国家标准化和技术委员会)于上世纪90年代初提出了基于角色的访问控制方法,实现了用户与访问权限的逻辑分离,更符合企业的用户、组织、数据和应用特征。

本文将首先介绍RBAC(Role Based Access Control)的基本思想,在此基础上,给出企业应用系统中实现R-F-RBAC(Role-Function-Resource Based Access Control,基于角色-功能-资源的权限控制)的一种具体方法。

RBAC的基本思想可简单地用图1来表示,即把整个访问控制过程分成两步:访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。


 

由于RBAC实现了用户与访问权限的逻辑分离,因此它极大的方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行,而配置权限到角色的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们委派用户的权限,这与现实中情况正好一致。

而R-F-RBAC的设计思路是在RBAC基础上的一个发展,引入了资源的概念。何所谓资源,大体来说可以是纳入系统管理的信息,在技术实现层面可以是一张表、一条或一列记录、甚至可以是表的一个单元格。在实践使用中,一些高安全级别额的企业应用,仅仅将权限控制到功能是不够的,要求能控制某些用户只能操作到指定的系统内容。

案例分析

这里我们用一个简单的应用模型实例对R-F-RBAC进行深入分析,即给某企业应用假设一个安全级别较高的合同管理子模块,这个模块涉及如下元素:

·合同文件:根据业务要求分为三个等级(项目级、部门级、公司级);

·具体功能:根据实际功能要求分为草拟、上报、会签、批核;

·操作角色:根据公司行政职位设置有项目经理、部门经理、总经理;

·操作人员:公司的内部人员A项目经理张三、甲部门经理李四、总经理王二;

系统的安全需求为A项目经理张三只能草拟并上报仅限于A项目的项目级别合同文件,甲部门经理李四只能草拟、上报、会签率属于甲部门下的项目级或部门级的合同文件,而总经理王二则有权任意操作整个公司的三个级别的合同文件,可将此模型归纳为如下表格:

人员

角色

功能

资源

王二

总经理

草拟、上报、会签、批核

三个级别的合同文件

李四

部门经理

草拟、上报、会签

甲部门下的项目级或部门级的合同文件

张三

项目经理

草拟、上报

仅限于A项目的项目级别合同文件

解决方案

为此我们要设计如下几张关键的数据表:

·用户表:           记录用户的相关信息,UserID作为唯一的用户标识;

·角色表:           记录角色的相关信息,RoleID作为唯一的角色标识;

·模块及功能表:记录模块相关信息及模块的相关功能,分为主子关系表;

·资源表:            记录系统中的所有需要高安全控制的资源信息,其中ResTable是资源对应的数据表名(如合同信息表),ResTerm则是给定该资源的条件(如甲部门下的项目级或部门级的合同文件)用于限定数据提取范围;

由于本文提到的R-F-RBAC的设计思路均考虑用户可以授予多角色,因此我们需要建立用户-角色对应表,用来记录某用户可能对应的若干角色信息,同样需要建立的是角色-功能对应表和角色-资源对应表,以彻底剥离用户与权限访问间的关系;

数据库关系图(仅涉及关键字段)如下:

 

程序实现

代码实现应分为三大部分:

·权限数据维护:该部分主要实现用户、角色、功能、资源等基础信息的维护,给系统管理员一个便利的操作接口;

·权限数据处理:指的是在程序内部实现权限调用接口,如根据调用者提供的模块及用户的信息给出应该提供可操作数据和功能;

·权限数据引用:在UI层具体的处理用户对应的组合权限,如根据得到的功能权限信息控制UI上按钮、菜单等功能元素的显隐活可用性,或根据得到的资源权限条件组合提数条件以达到某些用户只能操作到指定的系统内容的控制级别;

基于角色的权限控制 - RBAC

实现步骤: 一 、数据库字段设计: 大体可分为三个数据表(权限表,角色表 和 管理员表),在角色表中有权限id列表字段,这个字段可再细分(也就是说可以和管理员表的id字段组成另一个表)。 权限表...
  • u011341352
  • u011341352
  • 2015年08月02日 08:44
  • 3157

一个基于角色的权限控制系统

基于角色的权限控制也就是说通过角色,来控制用户访问的模块,不同的用户拥有不同的角色,将具有不同的访问权限。...
  • frankcheng5143
  • frankcheng5143
  • 2016年06月21日 10:07
  • 6569

基于角色的访问控制 (RBAC)权限管理

RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-...
  • yin767833376
  • yin767833376
  • 2017年03月22日 12:49
  • 892

thinkphp基于角色的权限控制详解

参考: http://www.cnblogs.com/tanteng/archive/2012/11/25/2787597.html
  • kexiaoling
  • kexiaoling
  • 2015年12月12日 10:16
  • 212

Forms身份验证以及基于角色的权限控制

主要思想:Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面。   具体步骤:       1、创建一个网站,结构如下:           网站根目录      ...
  • Jelly_tracy
  • Jelly_tracy
  • 2009年12月03日 13:19
  • 2131

1024写个开源软件--基于角色的权限管理系统(开始)

做项目的过程中发现一个通用的后台模版是多么的节省时间,今天就把平时用到的,学习的,总结一下。目的开源一个基于角色的权限管理系统,一个空的模版,仅仅实现了用户,角色,菜单和权限的管理。采用Spring+...
  • frankcheng5143
  • frankcheng5143
  • 2016年10月24日 23:06
  • 2971

基于角色和资源的用户权限控制(用SpringMVC实现)

大龄菜鸟 2017-03-03 19:25 介绍 用户权限控制几乎是每个网站都会涉及到的问题,这不仅是涉及到安全,而且还涉及到用户的体验,例如,某个用户可能只需要用到少数几个模块,那么,我们就不应...
  • u011277123
  • u011277123
  • 2017年04月01日 09:15
  • 4046

(转)java权限管理与用户角色权限设计

实现业务系统中的用户权限管理 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台...
  • lishirong
  • lishirong
  • 2014年12月02日 09:49
  • 6130

RBAC(Role-Based Access Control )基于角色的访问控制

RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-...
  • Phplayers
  • Phplayers
  • 2017年08月02日 16:02
  • 450

浅谈C# WinForm中实现基于角色的权限菜单

浅谈C# WinForm中实现基于角色的权限菜单 作者:CodingMouse            日期:2008年12月14日 转载请注明文章来源:http://blo...
  • renshen4322
  • renshen4322
  • 2014年03月06日 02:39
  • 1365
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:基于角色的权限管理
举报原因:
原因补充:

(最多只允许输入30个字)