权限管理设计的一些感悟

见过一种设计,将权限系统分为三种对象:用户、角色和组。

1.  角色是权限系统的基本单位,我们常常为角色赋予各种权限。同时角色可以赋予其他角色。

2.  用户,可以被赋予各种角色。同时可以被赋予各种权限。

3.  组,作用类似于文件夹,用于盛放用户与角色。同时可以被赋予各种角色。同时可以被赋予各种权限。

4.  权限管理中,存在特殊的角色:admin_role和group_admin_role。前者为系统管理员角色,后者为组管理员角色。

5.  系统中存在特殊用户:admin。此为系统管理员,不能删除、改变。

对于上述设计在实际情况中,发生了一些问题,或者说教训。

1.  创建角色role1、role2、role3,将role1赋予role2,role2赋予role3,role3赋予role1,这样在权限读取中会形成死循环。

2.  系统运行时,常常(经常进行这种运算)需要识别一个用户是否为系统管理员或组管理员或者其他权限。以判断某用户是否具备某种权限为例,常常需要这样:

     a.  查看user是否具有此权限。时间复杂性为 :O(1)。

     b.  参看user被赋予的role,是否具有此权限。时间复杂性为 :O(n)。

     c.  层层遍历user所在组具备的权限,即这些组被赋予的role。时间复杂度为:O(n2)。

     d.  递归遍历上述role中被赋予的role,是否具备此权限。时间复杂度为 :我也不知道它的时间复杂度了。

3.  出现将admin_role或group_admin_role直接赋予到“组”上的情况。这样一组人都成了超级管理员或组管理员了。

4.  实际设计中,发现role只需要放置在根目录就可以了,不需要分组。而且如果将其放在其他组,会导致遍历权限的时间复杂度。

教训的总结:

1.  组和用户,不能直接被赋予权限。

2.  角色不能再赋予其他角色。

3.  admin_role和group_admin_role在设计中,就应该和其他role区分开。对他们两个的进行一些限制,如不能被编辑,不能赋予组等。不设置这两个role,只是对user中设置单独的标记(是否为管理员),在用户编辑页面,提供“将此用户设为管理员”的勾选操作。

4.  将“role的结构树”从“用户、组的结构树”中独立出来,因为role的组织结构中,根本不需要“文件夹”这一概念。

转载于:https://www.cnblogs.com/KuTeng/p/4612394.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值