在任何系统中,权限设计是最基础的东西,一个好的权限系统,可以为开发人员提高开发进度;而且,又可以为用户提供完美的可扩展权限管理,而非简单的权限定制。 本文实现功能:实现基于角色+模块+权限粒度的权限管理 相关概念: (1)角色:是一类功能的集合,比如新闻编辑这个角色,他可能有起草新闻、编辑新闻等功能集合,而责任编辑他可能就有更多的权限,比如除了新闻编辑的功能,还有审核新闻、删除新闻等粒度级别操作;这个可以理解为程序设计中的组. (2)权限粒度:它是最小的单位,比如起草新闻、编辑新闻、审核新闻、删除新闻等 (3)用户:就是一个系统的最终使用用户(包括管理人员和被管理人员) (4)资源:管理的对象 下面模拟对一个信息系统的控制数据:
(图一. 权限示意图)
用户信息表:
| UserID | UserName |
| U1 | 张三 |
| U2 | 李四 |
角色表:
| RoleID | RoleName |
| R1 | 新闻编辑 |
| R2 | 责任编辑 |
角色用户表:
| RoleID | UserID |
| R1 | U1 |
| R2 | U2 |
权限粒度表:
| PrivilegeID | ResourceType | PrivilegeTitle |
| P1 | NTA | 起草新闻:分类A |
| P2 | NTA | 编辑新闻:分类A |
| P3 | NTA | 审核新闻:分类A |
| P4 | NTA | 删除新闻:分类A |
| P1 | NTB | 起草新闻:分类B |
| P2 | NTB | 编辑新闻:分类B |
| P3 | NTB | 审核新闻:分类B |
| P4 | NTB | 删除新闻:分类B |
注意:这个表里面添加有资源(模块)信息
角色权限表:
| RoleID | PrivilegeID |
| R1 | P1 |
| R1 | P2 |
| R2 | P1 |
| R2 | P2 |
| R2 | P3 |
| R2 | P4 |
判断一个用户具有某个模块权限实现:
| #获取权限(Privileges)的语句: Select PrivilegeID + `,` + ResourceType From 角色权限表 Where RoleID In (Select RoleID From 用户角色表 Where UserID='U1') #权限的判断 Privileges.Contain('F1,NTA'); |
在新添加一个分类的时候,同时也在权限表中增加相应的记录(当然不是在数据库里面直接添加,由和权限相关的函数来添加)。 使用这种解决方案可以简单地对有分类的应用(比如论坛系统)的每个分类实行不同的控制(比如VIP板块,就只能拥有VIP角色的用户才能浏览、发表等,而其他板块只要是注册用户就可以使用了)。
在实际应用中PrivilegeID并不是随便的一个字符串,而是进行了编码,其编码中包含了模块 ID以及能够体现出父子关系,举个例子来说:对于论坛系统,我们给它一个模块ID为”30”,论坛的权限我们先分成2类,一类是管理类(比如删除帖子), 一类是使用类(比如发帖、回帖、浏览帖子等),给管理类一个编码:01,使用类一个编码:02,我们就对PrivilegeID进行如下的编码: 300101:删除帖子 300201:发帖 300202:回帖 300203:浏览帖子
对于资源(比如某个板块1,板块的ID为:01),我们可以组合出如下的Privileges(当然这个组合你也可以不用逗号分隔,用其他的组合方式也可以,不过不要产生歧义): 300101,01:板块1删除帖子的功能 300201,01:板块1发帖的功能 …… 对于RoleID也是采用的编码方式,也能体现角色的父子关系,也可以实现角色功能的继承等(当然获取角色功能列表的SQL语句就不是现在这么简单了)。在我现在的应用里面没有实现角色的继承(虽然角色的编码体现出了角色的父子关系)。
4019
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
