OA系統(tǒng)權(quán)限管理設(shè)計方案

OA系統(tǒng)權(quán)限管理設(shè)計方案不同職責(zé)的人員，對于系統(tǒng)操作的權(quán)限應(yīng)該是不同的。優(yōu)秀的業(yè)務(wù)系統(tǒng)，這是最基本的

功能。可以對“組”進(jìn)行權(quán)限分配。對于一個大企業(yè)的業(yè)務(wù)系統(tǒng)來說，如果要求管理員為其下員

工逐一分配系統(tǒng)操作權(quán)限的話，是件耗時且不夠方便的事情。所以，系統(tǒng)中就提出了對“組”

進(jìn)行操作的概念，將權(quán)限一致的人員編入同一組，然后對該組進(jìn)行權(quán)限分配。權(quán)限管理系統(tǒng)應(yīng)該是可擴(kuò)展的。它應(yīng)該可以加入到任何帶有權(quán)限管理功能的系統(tǒng)中。就

像是組件一樣的可以被不斷的重用，而不是每開發(fā)一套管理系統(tǒng)，就要針對權(quán)限管理部分進(jìn)

行重新開發(fā)。滿足業(yè)務(wù)系統(tǒng)中的功能權(quán)限。傳統(tǒng)業(yè)務(wù)系統(tǒng)中，存在著兩種權(quán)限管理，其一是功能權(quán)限的

管理，而另外一種則是資源權(quán)限的管理，在不同系統(tǒng)之間，功能權(quán)限是可以重用的，而資源

權(quán)限則不能。針對0A系統(tǒng)的特點，權(quán)限說明：權(quán)限

在系統(tǒng)中，權(quán)限通過模塊+動作來產(chǎn)生，模塊就是整個系統(tǒng)中的一個子模塊，可能對應(yīng)一個

菜單，動作也就是整個模塊中（在B/S系統(tǒng)中也就是一個頁面的所有操作，比如''瀏覽、添

加、修改、刪除”等）。將模塊與之組合可以產(chǎn)生此模塊下的所有權(quán)限。權(quán)限組

為了更方便的權(quán)限的管理，另將一個模塊下的所有權(quán)限組合一起，組成一個'權(quán)限組”，也就

是一個模塊管理權(quán)限，包括所有基本權(quán)限操作。比如一個權(quán)限組（用戶管理），包括用戶的

瀏覽、添加、刪除、修改、審核等操作權(quán)限，一個權(quán)限組也是一個權(quán)限。角色

權(quán)限的集合，角色與角色之間屬于平級關(guān)系，可以將基本權(quán)限或權(quán)限組添加到一個角色中，

用于方便權(quán)限的分配。用戶組

將某一類型的人、具有相同特征人組合一起的集合體。通過對組授予權(quán)限（角色），快速使

一類人具有相同的權(quán)限，來簡化對用戶授予權(quán)限的繁瑣性、耗時性。用戶組的劃分，可以按

職位、項目或其它來實現(xiàn)。用戶可以屬于某一個組或多個組。通過給某個人賦予權(quán)限，有4種方式（參考飛思辦公系統(tǒng)）A■通過職位a） 在職位中，職位成員的權(quán)限繼承當(dāng)前所在職位的權(quán)限，對于下級職位擁有的權(quán)限不可繼承。b） 實例中：如前臺這個職位，對于考勤查詢有權(quán)限，則可以通過對前臺這個職位設(shè)置考勤查詢的瀏覽權(quán)，使他們有使用這個對象的權(quán)限，然后再設(shè)置個，考勤查詢權(quán)（當(dāng)然也可以不

設(shè)置，默認(rèn)能進(jìn)此模塊的就能查詢），則所有前臺人員都擁有考勤查詢的權(quán)利。B■通過項目a） 在項目中，項目成員的權(quán)限來自于所在項目的權(quán)限，他們同樣不能繼承下級項目的權(quán)限，而對于項目組長，他對項目有全權(quán)，對下級項目也一樣。b） 實例中：在項目中，項目成員可以對項目中上傳文檔，查看本項目的文檔，可以通過對項目設(shè)置一個對于本項目的瀏覽權(quán)來實現(xiàn)進(jìn)口，這樣每個成員能訪問這個項目了，再加上項目文檔的上傳權(quán)和查看文檔權(quán)即可。c） 對于組長，因為可以賦予組長一個組長權(quán)（組長權(quán)是個特殊的權(quán)限，它包含其他各種權(quán)限的一個權(quán)限包），所有組長對于本項目有全權(quán)，則項目組長可以對于項目文檔查看，審批，刪除，恢復(fù)等，這些權(quán)限對于本項目的下級項目依然有效。C.通過角色a） 角色中的成員繼承角色的權(quán)限，角色與角色沒有上下級關(guān)系，他們是平行的。通過角色賦予權(quán)限，是指沒辦法按職位或項目的分類來賦予權(quán)限的另一種方式，如：系統(tǒng)管理員，資

料備份員…b） 實例中：對于本系統(tǒng)中，全體人員應(yīng)該默認(rèn)都有的模塊，如我的郵件，我的文檔，我的日志，我的考勤……，這些模塊系統(tǒng)成員都應(yīng)該有的，我們建立一個角色為系統(tǒng)默認(rèn)角色，把所有默認(rèn)訪問的模塊的瀏覽權(quán)加入到里面去，則系統(tǒng)成員都能訪問這些模塊。D.直接指定a)直接指定是通過對某個人具體指定一項權(quán)限，使其有使用這個權(quán)限的能力。直接指定是

角色指定的一個簡化版，為了是在建立像某個項目的組長這種角色時，省略創(chuàng)建角色這一個

步驟，使角色不至于過多。b)實例中：指定某個項目的組長，把組長權(quán)指定給某個人。針對職位、項目組：

如果用添加新員工，員工調(diào)換職位、項目組，滿足了員工會自動繼承所在職位、項目組的權(quán)

限，不需要重新分配權(quán)限的功能。用戶管理

用戶可以屬于某一個或多個用戶組，可以通過對用戶組授權(quán)，來對組中的所有用戶進(jìn)行權(quán)限

的授予。一個用戶可以屬于多個項目組，或擔(dān)任多個職位。授權(quán)管理將一個基本權(quán)限或角色授予用戶或用戶組，使用戶或用戶組擁有授予權(quán)限的字符串，如果角

色、職位、項目中存在相同的基本權(quán)限，則取其中的一個；如脫離角色、職位、項目組，只

是取消用戶或用戶組的中此角色、職位、項目組所授予的權(quán)限。用戶所擁有的權(quán)限是所有途

徑授予權(quán)限的集合。管理員用戶可以查看每個用戶的最終權(quán)限列表。權(quán)限管理基本操作權(quán)限與權(quán)限組（基本操作權(quán)限的集合）的管理。員工或用戶OA權(quán)限管理設(shè)計的實現(xiàn)物理數(shù)據(jù)模型圖如下：tb_Mi：iduleModuleCodevarch-=ir|4jModuleNamevarchar(20jModuleValuevarchar(20)Lit*山1varchar(256)ParentModulevarchar|4jModuleDescriptionvarchar(256)tbActiontb_CompanyActionCodevarchar(2)ActionNamevarchar(10]A:：tii：?nValuevarchar(20lCompanyCodevarchar(3)CompanyNamevarchar(201,1.tb_DepartmerittbPermitDepartmentCodeDepartmentNameParentDepartmentDepartmentDescriptioriCompanyCodevarchar(3'|varch8r(20)varchar(3)varchar(256jvarchar(3]PermitCodeModuleCodeAjtionCadeF'ermitValuetbUserPermittbUsertbPositionPermittbFYuiectPermitvarcharlbjvarchar(4)varchar(2)varcahr(2UjUseIdUserNamePasswordTrue忖mEEintvarchar(20)varcharlSO)varchar(12)varch-=ir(3)intvarchar(IOO)varchar(IOO)varchar(IOO)varchar(40001UseridRoleCodePositionCodeFVeieetCodePermitCodertb_F'ermit_GroupGroupCodeGroupNamePermitCodevarchar(3)varch-=ir(20]varchar(4000)tbPositionUsertbF,ri：iiectUserPositionCodevarchar(6)Userid intFVcijei^tCodevarchar[3)Userid varchar(100)IsLead int1tbRolePermitRoleCodevarchar[3jPermitCodevarchar(4000)PositionCodevarchar(3)PermitCode varchar[4000]RejectCodevarchar(3)PermitCodevarchar(4000)tbRoleRoleCode varchar(3)RoleName varchar(20)RoleDescriptionvarcahr(256)tbF'：isitioriPositionCodevarchar(3)PositionNamevarchar(20)PositionDescriptionvarchar[256]ParentPositonvarchar(3)DeptCodevarchar(3)tb_FYojectFVoj&ctCijdeRejectNameParentFtojectRejectDescriptionvarchar(3)varchar(2Lljvarchar(3)varuhar[256j物理數(shù)據(jù)模型圖根據(jù)以上設(shè)計思想,權(quán)限管理總共需要以下基本表：tb_User:用戶信息基本表；tb_Department:部門表；tb_Company：公司表；tb_Module：系統(tǒng)模塊表；tb_Action:系統(tǒng)中所有操作的動作表；tb_Permit：由tb_Module與tb_Action兩表結(jié)合產(chǎn)生的系統(tǒng)基本權(quán)限表；tb_Permit_Group:權(quán)限組表，將一模塊的中的所有權(quán)限劃分一個權(quán)限組中，可以通過權(quán)

限組授予用戶權(quán)限；tb_Role:角色表，基本權(quán)限的集合。無上級與下級之分；

tb_Position：職位表，有上級與下級之分；tb_Project:項目組表，tb_Role_Permit：角色授權(quán)表；tb_Postion_Permit：職位授權(quán)表；tb_Project_Permit：項目授權(quán)表；tb_Project_User:項目成員表，IsLead字段代表此成員為項目組長；

tb_Postion_User:職位成員表；tb_User_Permit：用戶授權(quán)表，用戶ID與角色、職位、項目及直接授予的權(quán)限串表；

權(quán)限的產(chǎn)生：由tb_Module中的ModuleCode與tb_Action中的ActionCode組成

權(quán)限代碼PermitCode=ModuleCode+ActionCode。實例：ModuleCode=0101,ActionCode=01,貝1」PermitCode=010101。權(quán)限值則有ModuleValue與ActionCode組合而成，采用下劃線來連接。實例：ModuleValue=Sys_User,ActionValue=AdD，PermitValue=

Sys_User_Add權(quán)限組：包括一組同一模塊下的權(quán)限的組合，如管理用戶包括基本的權(quán)限：添加、刪除、修改、

查看等，將這些組合起來構(gòu)成一個用戶組——“用戶管理”權(quán)限組。其它類似。只是為了更方

便的查看系統(tǒng)權(quán)限與權(quán)限的分配。實例：如管理用戶的權(quán)限代碼為01010鮎查看用戶，010102占添加用戶,010103占刪除用戶，010104占修改用戶，010105占審核用戶等，將這些基本權(quán)限組合起來一個集合而構(gòu)成了“用戶管理”權(quán)限組。角色、職位、項目：也就是按特定的需要劃分一種權(quán)限的集合。使用角色授權(quán)表、職位授權(quán)表、項目授權(quán)表來實現(xiàn)。授權(quán)表中存放的是權(quán)限代碼PermitCode,而不是權(quán)限組的GroupCode代碼。用戶授權(quán)：由用戶授權(quán)表來實現(xiàn)，用戶授權(quán)表中的RoleCode、PositionCode、ProjectCode分別是角色表中RoleCode組成的串、職位表PositionCode組成的串、ProjectCode組成的串。與角色授權(quán)表中的角色代碼/