开发中的权限管理问题(1)

(1)基本概念

       权限管理，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。权限管理几乎出现在任何系统里面，只要有用户和密码的系统。 很多人，常将“用户身份认证”、“密码加密”、“系统管理”等概念与权限管理概念混淆。


(2)场景举例

    企业IT管理员一般都能为系统定义角色，给用户分配角色。这就是最常见的基于角色访问控制。例如：

   (a ) 给张三赋予“人力资源经理”角色，“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和      
     “删除员工”权限。此时张三能够进入系统，则可以进行这些操作；

  
   (b)去掉李四的“人力资源经理”角色，此时李四就不能够进行系统进行这些操作了。
     
以上举例，局限于功能访问权限。还有一些更加丰富、更加细腻的权限管理。比如：

   ( a) 因为张三是北京分公司的“人力资源经理”，所以他能够也只能够管理北京分公司员工和北京分公司下属的子
        公司（海淀子公司、朝阳子公司、西城子公司、东城子公司等）的员工；

  
   (b) 因为王五是海淀子公司的“人力资源经理”，所以他能够也只能够管理海淀子公司的员工；

  
   (c) 普通审查员审查财务数据的权限是：在零售行业审核最高限额是￥50万，在钢铁行业最高限额是￥1000万；高
        级审查员不受该限额限制；

   (d)ATM取款每次取款额不能超过￥5000元，每天取款总额不能超过￥20000元。

这些权限管理和数据（可以统称为资源）直接相关，又称为数据级权限管理、细粒度权限管理或者内容权限管理。

(3)分类

   从控制力度来看，可以将权限管理分为两大类：

   1，功能级权限管理；

   2，数据级权限管理。

   从控制方向来看，也可以将权限管理分为两大类：

   1，从系统获取数据，比如查询订单、查询客户资料；

   2，向系统提交数据，比如删除订单、修改客户资料。