2008-06-04
[b][size=large;]系統許可權設計方案[/size][/b][b][size=large;]
[/size][/b]
關鍵字: 設計思想
系統設計許可權管理分為:
人員管理
角色管理
模組管理
其實有這樣一些概念:
主體:使用者和角色可以稱為主體。
資源:就是可以進行crud的物件。
許可權:就是對資源的crud操作。
授權:就是對這種許可權的分配。
認證:就是查詢使用者是否有許可權。
使用者和角色的關係是多對多,這共同組成了主體。
模組是資源。
主體和資源的紐帶是acl(訪問控制列表),主體和acl之間是多對多關係,資源和acl之間也是多對多關係。acl裡面就記錄了使用者的許可權。
在資料庫上它就是乙個中間表的作用。
授權是這樣的:
授權分為兩種:
角色授權
對角色統一授權,繼承這種角色的使用者就自動擁有該角色所擁有的許可權,並且許可權分有優先順序,這樣兩種許可權如果之間發生衝突則取高優級。
使用者授權
對使用者進行單獨授權,這種情況必須在不繼承角色的情況下才能生效,並且此時只使用單獨授權的許可權。
每一次授權都是針對特定模組,而不是所有。
搜尋使用者所有授權過程是這樣的:
1、查詢使用者所有角色的許可權,按優先給從低到高,有重複的可以以高優先順序覆蓋。(存入map中,key是資源標識)
2、查詢使用者直接授予的許可權。查詢不繼承的許可權。
3、合併許可權。
4、再從中選擇具體的許可權(crud)。
認證過程是這樣的:
根據使用者標識和資源標識查詢acl例項
有例項:
檢視是否有確定授權
確定:返回授權
不確定(繼承):查詢使用者擁有角色列表,根據角色標識和資源標識查詢acl例項(迴圈)
沒有例項:
查詢使用者擁有角色列表,根據角色標識和資源標識查詢acl例項(迴圈)
使用者許可權系統設計方案
鍾峰 2004年10月 版本 1.0.0 本文介紹乙個應用於 企業應用通用的使用者許可權系統的設計框架,其設計思想與主要文件 自 sunwu software studio 的 isecuritymanager 產品。本指南適用於體系結構設計人員和開發人員。安全始終是可信賴的企業應用的基石。在企業應...
使用者許可權系統設計方案
鍾峰 2004年10月 版本 1.0.0 本文介紹乙個應用於 企業應用 通用的使用者許可權系統的設計框架,其設計思想與主要文件 自 sunwu software studio 的 isecuritymanager 產品。本指南適用於體系結構設計人員和開發人員。安全始終是可信賴的企業應用 的基石。在企...
使用者許可權系統設計方案
鍾峰 2004年10月 版本 1.0.0 本文介紹乙個應用於 企業應用通用的使用者許可權系統的設計框架,其設計思想與主要文件 自 sunwu software studio 的 isecuritymanager 產品。本指南適用於體系結構設計人員和開發人員。安全始終是可信賴的企業應用的基石。在企業應...