基于角色的权限管理(转载)

最新推荐文章于 2024-05-11 09:03:47 发布
最新推荐文章于 2024-05-11 09:03:47 发布
阅读量1.3k 收藏
点赞数
分类专栏: J2EE 文章标签: 企业应用 access standards 技术人 数据库 ui

本文在RBAC基本思想的基础上,增加资源权限的概念,设计了在企业应用系统中用户权限控制的一种具体的简单实现方法。

关键字 用户权限控制

名词解释

资源权限:资源指的是纳入企业应用的一切需要管理的信息实体,如进销存系统中的进货订单;资源权限则是系统将要在这些资源的基础上进行的访问使用权限的控制;

引言

企业应用系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control,自主访问控制模型)、MAC(Mandatory Access Control,强制访问控制模型)难以满足复杂的企业环境需求。因此,NIST(National Institute of Standards and Technology,美国国家标准化和技术委员会)于上世纪90年代初提出了基于角色的访问控制方法,实现了用户与访问权限的逻辑分离,更符合企业的用户、组织、数据和应用特征。

本文将首先介绍RBAC(Role Based Access Control)的基本思想,在此基础上,给出企业应用系统中实现R-F-RBAC(Role-Function-Resource Based Access Control,基于角色-功能-资源的权限控制)的一种具体方法。

RBAC的基本思想可简单地用图1来表示,即把整个访问控制过程分成两步:访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。

 

由于RBAC实现了用户与访问权限的逻辑分离,因此它极大的方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行,而配置权限到角色的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们委派用户的权限,这与现实中情况正好一致。

而R-F-RBAC的设计思路是在RBAC基础上的一个发展,引入了资源的概念。何所谓资源,大体来说可以是纳入系统管理的信息,在技术实现层面可以是一张表、一条或一列记录、甚至可以是表的一个单元格。在实践使用中,一些高安全级别额的企业应用,仅仅将权限控制到功能是不够的,要求能控制某些用户只能操作到指定的系统内容。

案例分析

这里我们用一个简单的应用模型实例对R-F-RBAC进行深入分析,即给某企业应用假设一个安全级别较高的合同管理子模块,这个模块涉及如下元素:

·合同文件:根据业务要求分为三个等级(项目级、部门级、公司级);

·具体功能:根据实际功能要求分为草拟、上报、会签、批核;

·操作角色:根据公司行政职位设置有项目经理、部门经理、总经理;

·操作人员:公司的内部人员A项目经理张三、甲部门经理李四、总经理王二;

系统的安全需求为A项目经理张三只能草拟并上报仅限于A项目的项目级别合同文件,甲部门经理李四只能草拟、上报、会签率属于甲部门下的项目级或部门级的合同文件,而总经理王二则有权任意操作整个公司的三个级别的合同文件,可将此模型归纳为如下表格:

人员

角色

功能

资源

王二

总经理

草拟、上报、会签、批核

三个级别的合同文件

李四

部门经理

草拟、上报、会签

甲部门下的项目级或部门级的合同文件

张三

项目经理

草拟、上报

仅限于A项目的项目级别合同文件

解决方案

为此我们要设计如下几张关键的数据表:

·用户表:           记录用户的相关信息,UserID作为唯一的用户标识;

·角色表:           记录角色的相关信息,RoleID作为唯一的角色标识;

·模块及功能表:记录模块相关信息及模块的相关功能,分为主子关系表;

·资源表:            记录系统中的所有需要高安全控制的资源信息,其中ResTable是资源对应的数据表名(如合同信息表),ResTerm则是给定该资源的条件(如甲部门下的项目级或部门级的合同文件)用于限定数据提取范围;

由于本文提到的R-F-RBAC的设计思路均考虑用户可以授予多角色,因此我们需要建立用户-角色对应表,用来记录某用户可能对应的若干角色信息,同样需要建立的是角色-功能对应表和角色-资源对应表,以彻底剥离用户与权限访问间的关系;

数据库关系图(仅涉及关键字段)如下:

 

程序实现

代码实现应分为三大部分:

·权限数据维护:该部分主要实现用户、角色、功能、资源等基础信息的维护,给系统管理员一个便利的操作接口;

·权限数据处理:指的是在程序内部实现权限调用接口,如根据调用者提供的模块及用户的信息给出应该提供可操作数据和功能;

·权限数据引用:在UI层具体的处理用户对应的组合权限,如根据得到的功能权限信息控制UI上按钮、菜单等功能元素的显隐活可用性,或根据得到的资源权限条件组合提数条件以达到某些用户只能操作到指定的系统内容的控制级别

guolimin1118
关注
专栏目录
动态菜单/RBAC标准完整权限管理系统的实现,通用角色权限控制系统五张表逻辑关联设计实现
wh445306
11-15 7817
序言: 众所周知,权限系统是每个系统里面必备的最基本的系统,然而权限系统设计有时挺麻烦的,,现在整理了下,给正在开发此模块的朋友一个思路!   设计基础:用户、角色、权限三大核心表,加上用户角色角色权限两个映射表(用于给用户表关联上权限表)。这样就可以通过登录的用户来获取权限列表,或判断是否拥有某个权限。   大致用到5张表:用户表(s_user)、角色表(s_role)、菜单表(s_menu)、用户角色表(s_user_role)、角色菜单表(s_role_menu)<注:表前加前缀s代表这
基于springboot+shiro权限管理系统
西里古里的博客
09-12 1239
一款 Java 语言基于SpringBoot2、Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪、富文本编辑器等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构
基于角色-功能-资源的权限控制模型的设计与实现-引子
weixin_34050005的博客
11-21 222
摘要 本文在RBAC基本思想的基础上,增加资源权限的概念,设计了在企业应用系统中用户权限控制的一种具体的简单实现方法。 关键字 用户权限控制 名词解释 资源权限:资源指的是纳入企业应用的一切需要管理的信息实体,如进销存系统中的进货订单;资源权限则是系统将要在这些资源的基础上进行的访问使用权限的控制; 引言 企业应用系统对安全问题有较高的要求,传统的访问控制方法DAC(Discreti...
【参考】RBAC模型基于角色-功能-资源的权限控制模型
04-22
.NET 权限管理模块设计参考 作者原话在项目开发中,往往需要涉及到权限模型的问题,现在比较流行的设计方案是RBAC3模型,为了使权限系统更加通用,减少开发人员在项目开发过程中的重复劳动,介绍一个比较通用的权限系统……
基于功能(代码)的权限管理
weixin_30273763的博客
09-26 298
摘要:.NetFramework类库本身包含了基于角色的安全性的权限管理功能,.NET Framework 基于角色的安全性通过生成可供当前线程使用的主体信息来支持授权,而主体是用关联的标识构造的。标识(及其帮助定义的主体)可以基于 Windows 帐户,也可以是同 Windows 帐户无关的自定义标识。.NET Framework 应用程序可以根据主体的标识或角色成员条件(或者这两者...
OA-基于功能点的权限系统
03-26 3421
目的:设计一个通用的独立权限管理系统.初衷:众多的权限管理系统都跟业务耦合在一起,没法分开,造成很大混乱,使得管理麻烦.如果独立出权限管理部分,并提供简单的特定的访问接口,那么将会大大减少复杂度.现状及需求:目前B/S结构的OA居于市场主流.B/S结构对大部分企业都是最合适的,可以极大程度方便客户的使用.这种结构的特点就是向服务器提交请求.每个请求都可以看成独立的.各请求并无耦合性.解决思路:1,
基于Golang语言Beego框架通用后台权限管理系统
weixin_50196917的博客
04-24 497
一款 Go 语言基于Beego、Layui、MySQL等框架精心打造的一款模块化、高性能、企业级的敏捷开发框架,本着简化开发、提升开发效率的初衷触发,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架。...
基于Golang语言GoFrame框架通用后台权限管理系统
weixin_50196917的博客
03-13 955
是一款基于Golang、GoFrame、Layui、MySQL等技术栈开发平台框架,拥有完善的(RBAC)权限架构和基础核心管理模块,为了缩短研发周期,系统框架集成了代码生成器,内置平台自定义研发的模板引擎,可以一键CRUD生成整个模块的全部代码,可以用户个人项目、公司项目以及客户定制化项目,本框架为一站式系统框架开发平台,可以帮助开发者提升开发效率、降低研发成本,同时便于后期的系统维护升级。...
基于Laravel+Layui开发的完整权限管理系统
weixin_50196917的博客
09-02 1687
一款 PHP 语言基于 Laravel5.8、Layui、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架,框架已集成了完整的RBAC权限架构和常规基础模块,同时支持多主题切换,可以根据自己喜欢的风格选择
delphi基于角色的权限控制.pdf
12-26
delphi基于角色的权限控制.pdf
delphi写的用户权限管理
05-16
用delphi写的用户权限管理 修改了权限树节点状态生成过程,采用循环遍历树结点 修改了主界面菜单和工具条显示过程,采用递规遍历菜单 通过系统管理员进入sys权限设置,在mainfrom创建的时候读取权限。 权限设置模块中可根据需要改为:将树型结构的节点写进数据库,进行动态修改。在程序中动态生成树型结构 过系统管理员:sys 密码:sys 普通用户:001 密码:123 用VB、VS等开发工具可参考设计。
基于角色权限管理
01-04
用于对角色进行分配权限,并能根据角色权限自动获取该角色能够操作的模块。里面不仅有源码,还有数据库基础设计。
Javaweb基于角色控制的权限管理系统
12-24
非常完整的Javaweb实践项目,可以用来作为期末课程设计,或者毕业设计,数据库脚本文件都具备,三个数据库的都含有
基于角色权限管理系统视频教程
06-02
我们开发业务系统的时候,基本上都会涉及到权限管理模块,要求不同的人看到不同的菜单,操作不同的按钮,看到不同的数据。很多初学者面对这样的需求不知道如何下手,特别是稍微复杂点的权限,更是找不到方向,为此我们夜鹰教程网特别推出了这套基于角色权限管理视频教程,通过给用户分配角色,给角色分配权限,来实现权限管理。这样一来,可以实现不同的人管理不同的菜单,操作不同的按钮,看到不同的数据。可以划分权限组,每个组的成员拥有相同的权限。也可以把同一个人分配到不同的权限组,具有多个权限组的权限,实现权限的组合。 本套教程通过c-s和b-s两种模式讲解,如果没有学过winform开发的学员可以通过本套教程补充下winform开发知识,以桌面程序的方式实现数据的CRUD操作,同时还可以学会一些常用控件的使用,特别是树形菜单的使用,以及递归的编程思想。 C-S部分目录 001 课程介绍 002 效果演示 003 新建项目 004 用户表 005 角色表 006 功能权限表 007 用户分配角色的表 008 角色拥有的菜单权限 009 登录界面设计 010 控件name 011 数据库操作类 012 登录操作 013 用户类 014 新建主窗体 015 主窗体布局 016 树形菜单 017 加载数据 018 递归调用 019 点击事件 020 密码修改 021 设备管理 022 角色列表 023 用户列表 024 新增用户 025 插入用户数据 026 显示用户数据 027 查询用户数据 028 用户数据分页 029 编辑用户数据 030 保存用户数据 031 删除用户数据 032 角色主数据 033 表单验证 034 编辑角色 035 角色数据分页 036 删除角色数据 037 设备列表 038 新增设备 039 设备分页 040 编辑设备 041 删除设备 042 点击菜单打开对应窗体 043 用户参数传递 044 通过构造函数传递参数 045 验证旧密码 046 通过菜单打开用户列表 047 菜单权限 048 权限主数据 049 给用户分配角色 050 显示待分配的菜单权限 051 角色用有菜单权限 052 取消菜单权限 053 保存菜单权限 054 清空旧的菜单权限 055 加载旧的菜单权限 056 功能权限配置 057 加载待分配的功能权限 058 加载已分配的功能权限 059 移动功能权限 060 保存功能权限 061 清空旧功能权限 062 分配数据权限 063 拼接已经分配的权限 064 移除权限 065 角色数据权限保存 066 给用户分配角色 067 待分配的角色 068 判断用户拥有的权限 069 获取功能权限 070 控制功能按钮是否可用 071 不能的用户看到不同的数据
前端如何控制权限_前端实战——技术篇(三、开发相关): 权限管理_手把手教网络安全技巧
最新发布
程序员三九的博客
05-11 1630
在我们开发任何一个系统时都会涉及到权限的问题,或简单或复杂需要基于业务需求而定。在中后台系统中,特别是比如ERP系统中,权限的设计尤为重要。
快速理解并实现权限控制
weixin_53818172的博客
07-16 2521
权限控制是指在一个系统或应用中对用户或角色的操作进行限制和管理的过程。它用于确保只有经过授权的用户或角色能够执行特定的操作或访问特定的资源。权限控制是信息安全和访问控制的重要组成部分。权限控制的主要目的是保护系统的安全性和完整性,防止未经授权的用户获取敏感信息、执行非法操作或对系统进行恶意操作。通过权限控制,可以限制用户或角色的访问权限和操作权限,确保系统只能被授权的用户或角色使用,提高系统的安全性。
基于角色的访问控制(RBAC)系统设计全过程(数据库以及java)项目
qq_48033003的博客
06-20 4680
基于角色的访问控制(RBAC) 一、基于角色的访问控制(RBAC)介绍 什么是基于角色的访问控制(RBAC) Role-Based Access Control 基于角色的访问控制(RBAC)百度百科 其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。 每一种角色对应一组相应的权限。 一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。 这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更
浅谈 RBAC(基于角色权限管理
老师好,我是安同学
08-29 956
什么是基于角色权限管理?   在我们写项目时,可能会遇到需要给不同的用户分配不同的权限的情况,什么是权限呢?权限其实就是一个url,不同的url代表不同的功能,限定用户能访问的url,就给了用户不同的权限,权限管理在很多项目中都有用到,所以我们可以将权限管理的逻辑写成一个组件,使它在不同的项目中只要经过一定的修改就能使用。 RBAC权限模型   用户角色表和角色权限表都是ManyToMany,要实现效果至少需要4张表(一个人只能有一个角色的情况下),一般情况下,使用下面的模型。 建表 下面的资源表
Jenkins角色权限插件部署教程:基于角色的项目管理
Jenkins配置基于角色的项目权限管理是一种增强其权限体系的方法,以适应团队协作和精细化管理的需求。默认情况下,Jenkins的权限管理并不支持用户组或角色的直接配置,因此需要借助第三方插件RoleStrategyPlugin来...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值