统一授权管理

用户授权管理在统一用户目录和统一资源目录的基础上，实现针对不同角色的用户提供对统一的信息资源目录的灵活的授权策略；实现统一的分级分类授权等一系列管理。
用户访问门户时，通过授权访问接口来确定该用户被授权的所有可访问资源。

用户授权管理体系架构如下图所示：

 

统一资源目录是构建企业信息资源整合与管理平台的基础设施，是进行信息资源整合的主线，统一资源目录基于统一的封装机制，实现异构信息资源的统一接入：

Portlet入口级资源目录：对各应用系统以Portlet方式实现授权控制。
部分应用内部细粒度资源注册：实现对LDAP目录中信息资源、数据资源、CMS信息条目、各应用系统内部模块操作级（如CRUD操作）细粒度的授权控制。
值得注意的是，并不是所有应用系统（如遗留应用系统）内部细粒度资源都可以纳入到统一资源目录中进行管理。

很多时候，我们都是对已经存在的系统进行集成操作，资源目录都已经在这些系统中进行了内部管理，这时不能纳入到统一资源目录中。

 

数据库设计时，如Portlet入口资源目录，可以采用下面的方式：

User (id, groupid)

AppInfo (id)

Group (id, appinfoid+)

此处，一个用户对应一个用户组。

对于内部细粒度资源目录，则只需要在资源目录对应的表添加一个层级结构，即体现为树状目录结构。

如果对应多个用户组时，即一个用户可以有多个角色（用户，系统管理员，账户管理员），这时可以采用下面方式：

User (id)

UserRole (id,userid,roleid+)

Role (id)

RoleMenu (id,roleid,menuid)

Menu (id)

 

 

统一资源目录包括三部分：
组件目录：应用组件的注册信息列表（如上面提到的APPINFO表）；
信息资源目录：用户能使用、能管理、能查看的信息资源目录；
被授权的信息资源目录：用户被授权的信息资源目录的子集。

 

API接口：如以下原型格式：
CreateFolder(); /* 创建资源目录 */
UpdateFolder(); /* 更新资源目录 */
DeleteFolder(); /* 删除资源目录 */
AddResourceToFolder(); /* 发布资源到资源目录 */
RemoveResourceFromFolder(); /* 从资源目录中删除资源 */
SetFolderProperties(); /* 设置资源目录属性 */

 

统一资源目录中的任一级别的目录，都有相对应的指定归属用户组或角色。该用户组中的用户具有对对应目录下资源访问权限，如下图所示：