用戶及權(quán)限管理設(shè)計(jì)

1、用戶及權(quán)限管理設(shè)計(jì)用戶及權(quán)限管理設(shè)計(jì)主要內(nèi)容主要內(nèi)容 v 用戶管理及權(quán)限管理的意義用戶管理及權(quán)限管理的意義v 用戶及權(quán)限管理涉及的幾個(gè)概念用戶及權(quán)限管理涉及的幾個(gè)概念v 用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案v 用戶及權(quán)限管理通用功能設(shè)計(jì)用戶及權(quán)限管理通用功能設(shè)計(jì)v 用戶及權(quán)限管理設(shè)計(jì)實(shí)例用戶及權(quán)限管理設(shè)計(jì)實(shí)例用戶管理及權(quán)限管理的意義用戶管理及權(quán)限管理的意義v用戶管理及用戶管理及權(quán)限權(quán)限管理管理一直是應(yīng)用系統(tǒng)一直是應(yīng)用系統(tǒng)中中不可缺少不可缺少的一個(gè)部分的一個(gè)部分v系統(tǒng)用戶很多，系統(tǒng)功能也很多系統(tǒng)用戶很多，系統(tǒng)功能也很多v不同用戶對(duì)系統(tǒng)功能的需求不同不同用戶對(duì)系統(tǒng)功能的需求不同v出于安全等

2、考慮，關(guān)鍵的、重要的系統(tǒng)功能需限出于安全等考慮，關(guān)鍵的、重要的系統(tǒng)功能需限制部分用戶的使用制部分用戶的使用v出于方便性考慮，系統(tǒng)功能需要根據(jù)不同的用戶出于方便性考慮，系統(tǒng)功能需要根據(jù)不同的用戶而定制而定制用戶及權(quán)限管理涉及的幾個(gè)概念用戶及權(quán)限管理涉及的幾個(gè)概念v 用戶分類：用戶分類：系統(tǒng)用戶、超級(jí)用戶、管理員用戶、系統(tǒng)用戶、超級(jí)用戶、管理員用戶、dba用戶、領(lǐng)用戶、領(lǐng)導(dǎo)用戶、專家用戶、操作員用戶、客戶用戶、導(dǎo)用戶、專家用戶、操作員用戶、客戶用戶、v 系統(tǒng)權(quán)限：系統(tǒng)權(quán)限：即對(duì)不同用戶使用系統(tǒng)資源（功能菜單項(xiàng)、按鈕、即對(duì)不同用戶使用系統(tǒng)資源（功能菜單項(xiàng)、按鈕、輸入控件等）的使用或訪問權(quán)限輸入控件等

3、）的使用或訪問權(quán)限v 用戶：用戶：應(yīng)用系統(tǒng)的具體操作者，用戶可以擁有一定范圍的權(quán)限應(yīng)用系統(tǒng)的具體操作者，用戶可以擁有一定范圍的權(quán)限v 角色：角色：為了對(duì)許多擁有相似權(quán)限的用戶進(jìn)行分類管理，定義了角為了對(duì)許多擁有相似權(quán)限的用戶進(jìn)行分類管理，定義了角色的概念，例如系統(tǒng)管理員、管理員、用戶、訪客等角色色的概念，例如系統(tǒng)管理員、管理員、用戶、訪客等角色v 組：組：為了更好地管理用戶，對(duì)用戶進(jìn)行分組歸類，簡(jiǎn)稱為用戶分為了更好地管理用戶，對(duì)用戶進(jìn)行分組歸類，簡(jiǎn)稱為用戶分組，如普通組，如普通qq群、高級(jí)群、高級(jí)qq群；一級(jí)單位用戶、二級(jí)單位用戶等群；一級(jí)單位用戶、二級(jí)單位用戶等用戶及權(quán)限管理涉及的幾個(gè)概念用

4、戶及權(quán)限管理涉及的幾個(gè)概念用戶的權(quán)限集用戶的權(quán)限集 自身的權(quán)限自身的權(quán)限 所屬的各角色權(quán)限所屬的各角色權(quán)限 所屬的各組權(quán)所屬的各組權(quán)限限權(quán)限、用戶、角色、組之間的關(guān)系權(quán)限、用戶、角色、組之間的關(guān)系用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案1. 基于角色的權(quán)限設(shè)計(jì)基于角色的權(quán)限設(shè)計(jì)2. 基于操作的權(quán)限設(shè)計(jì)基于操作的權(quán)限設(shè)計(jì)3. 基于角色和操作的權(quán)限設(shè)計(jì)基于角色和操作的權(quán)限設(shè)計(jì)4. 2&3組合的權(quán)限設(shè)計(jì)組合的權(quán)限設(shè)計(jì)5. 精確至數(shù)據(jù)記錄的權(quán)限設(shè)計(jì)精確至數(shù)據(jù)記錄的權(quán)限設(shè)計(jì)6. 涉及資源、權(quán)限和規(guī)則的權(quán)限設(shè)計(jì)涉及資源、權(quán)限和規(guī)則的權(quán)限設(shè)計(jì) 用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案1. 基于角色的

5、權(quán)限設(shè)計(jì)基于角色的權(quán)限設(shè)計(jì)l最常見也是比較簡(jiǎn)單的方案最常見也是比較簡(jiǎn)單的方案l通常這種設(shè)計(jì)已經(jīng)足夠通常這種設(shè)計(jì)已經(jīng)足夠l微軟設(shè)計(jì)了該方案的通用做法：微軟設(shè)計(jì)了該方案的通用做法：所有所有“操作操作”（功能）跟（功能）跟“角色角色”匹配匹配在程序中根據(jù)在程序中根據(jù)“角色角色”對(duì)是否具有對(duì)是否具有“操作操作”權(quán)限進(jìn)行控制權(quán)限進(jìn)行控制用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案2. 基于操作的權(quán)限設(shè)計(jì)基于操作的權(quán)限設(shè)計(jì)v該模式下每一個(gè)該模式下每一個(gè)“操作操作”都在數(shù)據(jù)庫(kù)中有記錄，用戶是否擁有該都在數(shù)據(jù)庫(kù)中有記錄，用戶是否擁有該操作的權(quán)限也在數(shù)據(jù)庫(kù)中有記錄操作的權(quán)限也在數(shù)據(jù)庫(kù)中有記錄v問題：如果直接使用

6、上面的設(shè)計(jì)，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)中的問題：如果直接使用上面的設(shè)計(jì)，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)中的useraction表數(shù)據(jù)量非常大，需要進(jìn)一步設(shè)計(jì)提高效率表數(shù)據(jù)量非常大，需要進(jìn)一步設(shè)計(jì)提高效率用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案3. 基于角色和操作的權(quán)限設(shè)計(jì)基于角色和操作的權(quán)限設(shè)計(jì)v該方案是對(duì)方案該方案是對(duì)方案2的改進(jìn)：添加了的改進(jìn)：添加了role和和roleaction表，從而可以表，從而可以減少減少useraction中的記錄，并且使設(shè)計(jì)更靈活中的記錄，并且使設(shè)計(jì)更靈活v不足：經(jīng)常需要定義新的不足：經(jīng)常需要定義新的“角色角色”例如：例如：當(dāng)用戶要求臨時(shí)給某位普通員工某操作權(quán)限時(shí)，就需要新增加一種當(dāng)用戶要

7、求臨時(shí)給某位普通員工某操作權(quán)限時(shí)，就需要新增加一種新的用戶角色，但是這種用戶角色是不必要的，因?yàn)樗皇且环N臨時(shí)的角新的用戶角色，但是這種用戶角色是不必要的，因?yàn)樗皇且环N臨時(shí)的角色，如果添加一種角色還需要在收回此普通員工權(quán)限時(shí)刪除此角色色，如果添加一種角色還需要在收回此普通員工權(quán)限時(shí)刪除此角色用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案v添加了添加了useraction表，使用此表來添加表，使用此表來添加特殊用戶的權(quán)限特殊用戶的權(quán)限，該表中有一個(gè)字段，該表中有一個(gè)字段haspermission可以決定用戶是否有某種操作的權(quán)限，該表中記錄的權(quán)限的優(yōu)可以決定用戶是否有某種操作的權(quán)限，該表中記錄的權(quán)

8、限的優(yōu)先級(jí)要高于先級(jí)要高于userrole中記錄的用戶權(quán)限。這樣在應(yīng)用程序中我們就需要通過中記錄的用戶權(quán)限。這樣在應(yīng)用程序中我們就需要通過userrole和和useraction兩張表中的記錄判斷權(quán)限兩張表中的記錄判斷權(quán)限v不足：有可能用戶會(huì)要求某一種不足：有可能用戶會(huì)要求某一種action所操作的對(duì)象所操作的對(duì)象部分記錄有權(quán)限部分記錄有權(quán)限，而對(duì)，而對(duì)于其他的記錄沒有權(quán)限，比如說一個(gè)內(nèi)容管理系統(tǒng)，對(duì)于某一些頻道某個(gè)用戶于其他的記錄沒有權(quán)限，比如說一個(gè)內(nèi)容管理系統(tǒng)，對(duì)于某一些頻道某個(gè)用戶有修改的權(quán)限，而對(duì)于另外一些頻道沒有修改的權(quán)限，該設(shè)計(jì)不能滿足要求有修改的權(quán)限，而對(duì)于另外一些頻道沒有修改的

9、權(quán)限，該設(shè)計(jì)不能滿足要求4. 2&3組合的權(quán)限設(shè)計(jì)組合的權(quán)限設(shè)計(jì)用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案l該方案需要對(duì)每一種不同的資源創(chuàng)建一張權(quán)限表該方案需要對(duì)每一種不同的資源創(chuàng)建一張權(quán)限表l例如：上圖中對(duì)例如：上圖中對(duì)content和和channel兩種資源分別創(chuàng)建了兩種資源分別創(chuàng)建了useractioncontent和和useractionchannel表用來定義用戶對(duì)某條記錄是否有權(quán)限表用來定義用戶對(duì)某條記錄是否有權(quán)限l不足：不足：該設(shè)計(jì)可以滿足用戶需求但是不是很經(jīng)濟(jì)該設(shè)計(jì)可以滿足用戶需求但是不是很經(jīng)濟(jì)，useractionchannel和和useractioncontent中的記錄

10、會(huì)很多，而在實(shí)際的應(yīng)用中并非需要記錄所有的記錄中的記錄會(huì)很多，而在實(shí)際的應(yīng)用中并非需要記錄所有的記錄的權(quán)限信息，有時(shí)候可能只是一種規(guī)則，比如說對(duì)于跟的權(quán)限信息，有時(shí)候可能只是一種規(guī)則，比如說對(duì)于跟channel什么級(jí)別的人有權(quán)什么級(jí)別的人有權(quán)限；這時(shí)我們就可以定義些規(guī)則來判斷用戶權(quán)限，下面就是這種設(shè)計(jì)限；這時(shí)我們就可以定義些規(guī)則來判斷用戶權(quán)限，下面就是這種設(shè)計(jì)5. 精確至數(shù)據(jù)記錄的權(quán)限設(shè)計(jì)精確至數(shù)據(jù)記錄的權(quán)限設(shè)計(jì)對(duì)于同一種實(shí)體（資源）用戶可以對(duì)對(duì)于同一種實(shí)體（資源）用戶可以對(duì) 一部分記錄有一部分記錄有權(quán)限權(quán)限用戶及權(quán)限管理設(shè)計(jì)方案用戶及權(quán)限管理設(shè)計(jì)方案6. 涉及資源、權(quán)限和規(guī)則的權(quán)限設(shè)計(jì)涉及資

11、源、權(quán)限和規(guī)則的權(quán)限設(shè)計(jì) 該設(shè)計(jì)下角色的概念已經(jīng)沒有了，只需要該設(shè)計(jì)下角色的概念已經(jīng)沒有了，只需要rule在程序中在程序中的類的類中定義用戶是否有操作某種對(duì)象的權(quán)限。中定義用戶是否有操作某種對(duì)象的權(quán)限。用戶及權(quán)限管理通用功能設(shè)計(jì)用戶及權(quán)限管理通用功能設(shè)計(jì)用戶及權(quán)限管理具體實(shí)現(xiàn)中，用戶及權(quán)限管理具體實(shí)現(xiàn)中，通用的管理功能大致如圖通用的管理功能大致如圖用戶及權(quán)限管理設(shè)計(jì)實(shí)例用戶及權(quán)限管理設(shè)計(jì)實(shí)例大慶煉化公司建設(shè)項(xiàng)目后評(píng)價(jià)管理系統(tǒng)大慶煉化公司建設(shè)項(xiàng)目后評(píng)價(jià)管理系統(tǒng)中的用戶及權(quán)限管理設(shè)計(jì)中的用戶及權(quán)限管理設(shè)計(jì)方案采用的是方案方案采用的是方案3（用戶角色操作用戶角色操作）用戶及權(quán)限管理設(shè)計(jì)實(shí)例用戶及權(quán)限管理設(shè)計(jì)實(shí)例大慶煉化公司建設(shè)項(xiàng)目后評(píng)價(jià)管理系統(tǒng)大慶煉化公司建設(shè)項(xiàng)目后評(píng)價(jià)管理系統(tǒng)中的用戶及權(quán)