在上一篇中,我说过Shiro的wildcardpermission帮我们抽象出一个极具渊源的权限字串:『资源:操作:实例』。
在实际的使用中,我们发现,操作与实例,即『操作』与『数据』,其实可以理解为权限控制的两个角度,并非仅仅是递进层次。即:province:*:bj
表示可对北京的数据进行各种操作,而province:edit:*
表示可以编辑所有省分的数据。
换言之,又比如:张三是会计,李四是销售,则他们拥有不同的操作权限;而如何张三和李四均为销售,但是一个是销售一部,一个归属销售二部,则他们的权限差异则在于数据,而非动作。
实践中,能很好的体现出这个关系的是『部门』和『角色』。
部门,是用户组,而不应该是角色组。所以,部门是可以与用户一样,控制当前用户对不同数据进行操作的权限。
角色,可作为用户的一个特殊属性,代表了多个permission,进而言之,它代表的是一组操作权限。
所以,在实践中,我们可以从两个角度给用户分配权限,一是他所归属的部门,决定了他的数据权限;另一个是他拥有的角色,决定了他的操作权限。从两个角度织出当前用户精细的权限地图。