后台管理系统详解：通用权限管理RBAC设计 数据库结构设计

不同职责的人员，对于系统操作的权限应该是不同的。优秀的业务系统，这是最基本的功能。

l.可以对“组”进行权限分配。对于一个大企业的业务系统来说，如果要求管理员为其下员工逐一分配系统操作权限的话，是件耗时且不够方便的事情。所以，系统中就提出了对“组”进行操作的概念，将权限一致的人员编入同一组，然后对该组进行权限分配。

2.权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用，而不是每开发一套管理系统，就要针对权限管理部分进行重新开发。

3.满足业务系统中的功能权限。传统业务系统中，存在着两种权限管理，其一是功能权限的管理，而另外一种则是资源权限的管理，在不同系统之间，功能权限是可以重用的，而资源权限则不能。

针对后台管理系统的特点，权限说明：

菜单权限

在系统中，权限通过模块+动作来产生，模块就是整个系统中的一个子模块，可能对应一个菜单页面，动作也就是整个模块中（在B/S系统中也就是一个页面的所有操作，比如“浏览、添加、修改、删除”等）。将模块与之组合可以产生此模块下的所有权限。

菜单权限组（模块）

为了更方便的权限的管理，将一个模块下的所有权限组合一起，组成一个“权限组”，也就是一个模块管理权限，包括所有基本权限操作。比如一个权限组（用户管理），包括用户的浏览、添加、删除、修改、审核等操作权限，一个权限组也是一个权限。

权限角色

权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色中，用于方便权限的分配。

用户组

将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限（角色），快速使一类人具有相同的权限，来简化对用户授予权限的繁琐性、耗时性。用户组的划分，可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。

通过给某个人赋予权限，大概有4种方式

A.通过职位

a)在职位中，职位成员的权限继承当前所在职位的权限，对于下级职位拥有的权限不可继承。 

b)实例中：如前台这个职位，对于考勤查询有权限，则可以通过对前台这个职位设置考勤查询的浏览权，使他们有使用这个对象的权限，然后再设置个，考勤查询权（当然也可以不设置，默认能进此模块的就能查询），则所有前台人员都拥有考勤查询的权利。

B.通过项目

a)在项目中，项目成员的权限来自于所在项目的权限，他们同样不能继承下级项目的权限，而对于项目组长，他对项目有全权，对下级项目也一样。

b)实例中：在项目中，项目成员可以对项目中上传文档，查看本项目的文档,可以通过对项目设置一个对于本项目的浏览权来实现进口，这样每个成员能访问这个项目了，再加上项目文档的上传权和查看文档权即可。

c)对于组长，因为可以赋予组长一个组长权（组长权是个特殊的权限，它包含其他各种权限的一个权限包），所有组长对于本项目有全权，则项目组长可以对于项目文档查看，审批，删除，恢复等，这些权限对于本项目的下级项目依然有效。

C.通过角色

a)角色中的成员继承角色的权限，角色与角色没有上下级关系，他们是平行的。通过角色赋予权限，是指没办法按职位或项目的分类来赋予权限的另一种方式，如：系统管理员，资料备份员…

b)实例中：对于本系统中，全体人员应该默认都有的模块，如我的邮件，我的文档，我的日志，我的考勤……，这些模块系统成员都应该有的，我们建立一个角色为系统默认角色，把所有默认访问的模块的浏览权加入到里面去，则系统成员都能访问这些模块。

D.直接指定

a)直接指定是通过对某个人具体指定一项权限，使其有使用这个权限的能力。直接指定是角色指定的一个简化版，为了是在建立像某个项目的组长这种角色时，省略创建角色这一个步骤，使角色不至于过多。

b)实例中：指定某个项目的组长，把组长权指定给某个人。

针对职位、项目组：

如果用添加新员工，员工调换职位、项目组，满足了员工会自动继承所在职位、项目组的权限，不需要重新分配权限的功能。

用户管理

用户可以属于某一个或多个用户组，可以通过对用户组授权，来对组中的所有用户进行权限的授予。一个用户可以属于多个项目组，或担任多个职位。也可以通过用户与角色单独授权，一个用户可以有多个角色，一个角色也可以有多个用户，形成多对多的关系

授权管理

将一个基本权限或角色授予用户或用户组，使用户或用户组拥有授予权限的字符串，如果角色、职位、项目中存在相同的基本权限，则取其中的一个；如脱离角色、职位、项目组，只是取消用户或用户组的中此角色、职位、项目组所授予的权限。用户所拥有的权限是所有途径授予权限的集合。管理员用户可以查看每个用户的最终权限列表。

权限管理

基本操作权限与权限组（基本操作权限的集合）的管理。

物理数据模型图如下：

这里为一个简单的数据结构表设计，未包括用户组这块的设计，因为很多系统中使用时涉及的用户组的场景不是很多，

根据以上设计思想,权限管理总共需要以下基本表：

sys_module:系统模块表

sys_menu:菜单表（这里模块+动作为菜单页面，同时菜单下级增加页面操作权限，在B/S系统中也就是一个页面的所有操作，比如“浏览、添加、修改、删除”等）

sys_position：职位表，有上级与下级之分；

sys_dept：部门位表，有上级与下级之分；

sys_user:用户表，无上下级

sys_auth：权限角色表，基本权限的集合。无上级与下级之分；

sys_auth_access:用户与权限角色关系映射表（多对多关系）

特别说明：

sys_auth：此表为权限角色表，创建一个角色绑定了多个菜单权限，通过一个字段存储了具体的菜单页面和功能按钮权限的ID,通过逗号分开

如：rules= (1,4,5,6,9..)

当然这里你也可以多创建一个表，单独来保存他的的映射关系，这样更灵活一点

下面用一个例子做设计说明。“用户、角色在页面上的是使用权限”

使用权限详细授权绑定步骤：

1，把菜单的配置放在数据库上，每一个菜单对于一个唯一的编码MenuNo，每一个“叶节点”的菜单项对于一个页面(url)。本系统这里是通过URL地址来作为标识。

2，把按钮的配置放在数据库上，并归属于一个菜单项上（其实就是挂在某一个页面上）。应该一个页面可能会有几个按钮组，比如说有两个列表，这两个列表都需要有“增加、修改、删除”。所以需要增加一个按钮分组的字段来区分。

3,创建一个权限角色，然后把菜单权限分配给这个角色

4,把角色绑定给用户，这样就个用户就拥有绑定的所有角色下面的菜单权限和功能按钮了

5、单独给用户绑定角色未包括的菜单权限，当有个别用户需要绑定一个特别的权限，可以单独指定

案例演示：

http://erp.07fly.xyz

开源地址:

https://gitee.com/07fly/07flyadmin

如果您对源码&技术感兴趣，请点赞+收藏+转发+关注，大家的支持是我分享最大的动力！！！