基于SSM框架的通用权限框架设计
1. 整体解决方案概述
1.1 权限整体解决方案概述
权限设计主要有一下几大部分组成:
PassPort:
针对现在系统的分析,系统之间有部分信息是共享的,这部分信息将由中心话的Passport来统一维护
- 用于中心存放用户,组织架构,渠道,品牌和产品相关的信息。
- 有关员工信息,可以从现有HR系统或者MDM中取得。
- 有关外部人员活动目录,可以专门在本PassPort系统中维护。
权限订阅模块:
负责订阅接受Passport发出的相关实体修改的信息。
资源权限绑定:
有效的将资源-角色-组-成员在数据库中简历绑定。
数据权限高速内存数据缓存:
将数据权限相关的数据缓存在内存,提供高性能访问能力。
Struts页面权限过滤和绑定:
使用Struts的tag动态根据资源权限的设置,决定页面中资源(按钮,菜单,URL,页面元素)的访问能力。
数据权限过滤:
根据数据过滤权限的特定,定义的数据权限过滤的通用数据结构。
根据业务集成和整合的需要,和优先级别的需要,权限部分的开发设计将逐步推进,初期会以各应用系统为单元进行资源权限和数据权限的改造,随后将根据重要业务系统的需要,逐步建立中心话的passport。
1.2 权限设计的原则
- 通用的数据管理;
- 通用Service;
- 数据权限系统同构;
- UI风格一致;
- 安全的访问控制;
- 可复用的API;
- 统一的资源权限控制;
- 统一和中心话的数据字典维护。
2. 资源权限解决方案
2.1 概览
(1)功能级授权采用通常的权限分组,角色绑定资源的通用设计思路来完成。基本设计思路如下图:
资源权限绑定概览
资源:菜单,按钮,URL,页面中的任何元素。
角色:
根据业务定义的各种角色,比如订单生成角色,结算角色等。
组:
用于联系角色和用户。
用户:
系统中登录的用户。
(2)资源权限在开发,测试,项目上线后维护中的不同作用:
项目开发和测试阶段:
- 项目开发人员和业务人员共同确定什么资源需要权限管理并在系统中定义资源。
- 在页面当中定义控制资源访问的tag。
- 根据业务模块的不同定义相应的增删改查的角色。
- 绑定角色和资源。
在项目上线之后和运维阶段:
- 在需要的时候可以继续建立更多的角色,并绑定角色和已有的资源。
- 建立用户组。
- 绑定用户组和已有的角色。
- 为用户组指定管理员,并授予管理员管理用户组的权限,用户组的管理员一般是业务人员的领导。
- 用户组管理员根据本部门的需要和调整,来动态的增减用户组的成员。
- 被加入用户组的成员立刻获得系统相应访问资源的访问和使用权限,无需修改代码。
2.2 管理类型和普通类型
分组和角色分别都有两种类型,一种是管理类型,一种是普通类型,以下做详细说明:
- 分组管理类型,针对业务人员,拥有管理类型的分组则可以把其他人加入到该组里。
- 分组普通类型,针对业务人员,拥有普通类型的分组只能自己使用分组里的角色和资源,不能授权给其他人。
- 角色管理类型,针对管理人员,拥有管理类型的角色可以修改角色与资源的对应关系。
- 角色普通类型,针对所有人,拥有普通类型的角色只能访问角色对应的资源而不能修改其关联关系。
分组表设计(Group)
|
|
|
|
|
|
|
|
|
|
|