用户,角色经,权限控制 ,权限模型, RBAC权限管理

权限模型。一般情况下会有5张表,分别是: 用户表,角色表,权限表,用户角色关系表,角色权限对应表。

RBAC (Role-Based Access Control,基于角色的访问控制) ,就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成"用户-角色-权限"的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般是多对多的关系。

角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如: 一个论坛系统,“超级管理员”、“版主"都是角色。版主可管理版内的帖子、可管理版内的用户等,这些是权限。要给某个用户授予这些权限,不需要直接将权限授予用户,可将"版主"这个角色赋予该用户。

当用户的数量非常大时,要给系统每个用户逐一授权 (授角色) ,是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。 (下图为用户组、用户与角色三者的关联关系)

在应用系统中,权限表现成什么?对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成"用户-角色-权限-资源"的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。 (见下图)

请留意权限表中有一列"权限类型”,我们根据它的取值来区分是哪一类权限,如"MENU"表示菜单的访问权限、“OPERATION"表示功能模块的操作权限、“FILE"表示文件的修改权限、“ELEMENT"表示页面元素的可见性控制等。

这样设计的好处有二。其一,不需要区分哪些是权限操作,哪些是资源, (实际上,有时候也不好区分,如菜单,把它理解为资源呢还是功能模块权限呢?) 。其二,方便扩展,当系统要对新的东西进行权限控制时,我只需要建立一个新的关联表"权限XX关联表”,并确定这类权限的权限类型字符串。

这里要注意的是,权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。 (文件、页面权限点、功能操作等同理) 。也就是每添加一个菜单,就得同时往这三个表中各插入一条记录。这样,可以不需要权限菜单关联表,让权限表与菜单表直接关联,此时,须在权限表中新增一列用来保存菜单的ID,权限表通过"权限类型"和这个ID来区分是种类型下的哪条记录。

到这里,RBAC权限模型的扩展模型的完整设计图如下:

随着系统的日益庞大,为了方便管理,可引入角色组对角色进行分类管理,跟用户组不同,角色组不参与授权。例如: 某电网系统的权限管理模块中,角色就是挂在区局下,而区局在这里可当作角色组,它不参于权限分配。另外,为方便上面各主表自身的管理与查找,可采用树型结构,如菜单树、功能树等,当然这些可不需要参于权限分配。

RBAC模型的分类 RBAC模型可以分为: RBAC0、RBAC1、RBAC2、RBAC3 四种。其中RBAC0是基础,也是最简单的,相当于底层逻辑,RBAC1、RBAC2、RBAC3都是以RBAC0为基础的升级。

RBAC0模型 最简单的用户、角色、权限模型。这里面又包含了2种:

用户和角色是多对一关系,即: 一个用户只充当一种角色,一种角色可以有多个用户担当。 用户和角色是多对多关系,即: 一个用户可同时充当多种角色,一种角色可以有多个用户担当。 那么,什么时候该使用多对一的权限体系,什么时候又该使用多对多的权限体系呢?

如果系统功能比较单一,使用人员较少,岗位权限相对清晰且确保不会出现兼岗的情况,此时可以考虑用多对一的权限体系。其余情况尽量使用多对多的权限体系,保证系统的可扩展性。如: 张三既是行政,也负责财务工作,那张三就同时拥有行政和财务两个角色的权限。

RBAC1模型 相对于RBAC0模型,增加了子角色,引入了继承概念,即子角色可以继承父角色的所有权限。

RBAC2模型 基于RBAC0模型,增加了对角色的一些限制: 角色互斥、基数约束、先决条件角色等。

角色互斥: 同一用户不能分配到一组互斥角色集合中的多个角色,互斥角色是指权限互相制约的两个角色。案例: 财务系统中一个用户不能同时被指派给会计角色和审计员角色。 基数约束: 一个角色被分配的用户数量受限,它指的是有多少用户能拥有这个角色。例如: 一个角色专门为公司CEO创建的,那这个角色的数量是有限的。 先决条件角色: 指要想获得较高的权限,要首先拥有低一级的权限。例如: 先有副总经理权限,才能有总经理权限。 运行时互斥: 例如,允许一个用户具有两个角色的成员资格,但在运行中不可同时激活这两个角色。

RBAC3模型 称为统一模型,它包含了RBAC1和RBAC2,利用传递性,也把RBAC0包括在内,综合了RBAC0、RBAC1和RBAC2的所有特点,这里就不在多描述了。

什么是权限 说了这么久用户-角色-权限,可能小伙伴们都了解了什么是用户、什么是角色。但是有的小伙伴会好奇,那权限又是个什么玩意呢?

权限是资源的集合,这里的资源指的是软件中所有的内容,包括模块、菜单、页面、字段、操作功能 (增删改查) 等等。具体的权限配置上,目前形式多种多样,按照我个人的理解,可以将权限分为: 页面权限、操作权限和数据权限

用户组的使用 当平台用户基数增大,角色类型增多时,如果直接给用户配角色,管理员的工作量就会很大。这时候我们可以引入一个概念"用户组”,就是将相同属性的用户归类到一起。

https://www.cnblogs.com/cjsblog/p/9152455.html https://blog.csdn.net/painsonline/article/details/7183613 http://www.woshipm.com/pd/1150093.html