较为常见的RBAC
管理员表和角色表有着多对多的关系,
角色表和权限表有着多对多的关系。
操作表中附上管理员的id,就可以只查看自己的操作信息。
权限表中对应每个权限管理模块再添加一个可管理全部信息的权限,例如:商品表有个Admin/Goods/ManagerAll的权限,虽然不对应Url,但是可以用来判定是否显示所有的商品。
进阶版的RBAC
昨天有人问我如果是要省级管理员能看到市级管理员和县级管理员两个团队的操作。
增加一张无限级分类的地区表。管理员表多加一个字段,表示自己所属的地区。
由商品的信息可以知道管理员的信息,由管理员的信息可以知道管理员的所属地区,两张表关联就可以知道商品的所属地区,这样可以判断如果该商品是由当前管理员所属地区的子级地区人员添加的,就可以查看到。
这个时候就要注意,上面提到有一个管理全部商品的权限,那么这个权限里面的判断还要增加上地区的判断,只能管理自己所属地区和子地区的全部商品。
优化一下:
管理员表再多加一个字段,保存自己的所属地区和所有子级地区,格式为:1,3,5。。。
这样的话可以直接就知道要管理的商品是哪些地区的。减少地区无限级分类时查找子级地区进行的多次递归。