RBAC用戶角色權(quán)限設(shè)計方案(非常好)

1、擴展RBAC用戶角色權(quán)限設(shè)計方案RBA（Role-Based Access Control，基于角色的訪問控制），就是用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)。簡單地說，一個用戶擁有若干角色,每一個角色擁有若干權(quán)限。這樣，就構(gòu)造成“用戶 -角色-權(quán)限”的授權(quán)模型。在這種模型中，用戶與角色之間，角色與權(quán)限之間，一 般者是多對多的關(guān)系。（如下圖）用戶表權(quán)限表權(quán)眼W叩啞西<rk>1權(quán)限帝識 YAKCHAK2 60)角色名用戶ID MEER <fkl> 嗎色H TOBER <£12>角色TD KUMBEK <fkl> 枚限TOBER角色是什么？可以理解為一定

2、數(shù)量的權(quán)限的集合，權(quán)限的載體。例如：一個論壇系統(tǒng)，“超級管理員”、“版主”都是角色。版主可管理版內(nèi)的帖子、可管理版內(nèi)的用戶等，這些是權(quán)限。要給某個用戶授予這些權(quán)限，不需要直接將權(quán)限授予用戶，可將“版主”這個 角色賦予該用戶。當(dāng)用戶的數(shù)量非常大時，要給系統(tǒng)每個用戶逐一授權(quán)（授角色），是件非常煩瑣的事情。這時，就需要給用戶分組，每個用戶組內(nèi)有 多個用戶。除了可給用戶授權(quán)外，還可以給用戶組授權(quán)。這樣一來，用戶擁有的所有權(quán)限，就是用戶個人擁有的權(quán)限與該用戶所在用 戶組擁有的權(quán)限之和。（下圖為用戶組、用戶與角色三者的關(guān)聯(lián)關(guān)系）用尸組用戶血NUMBER<pk>用尸組名稱VkRCHAJl2(50

3、)父用戶組名稱 MEER(的：引入用戶爼)在應(yīng)用系統(tǒng)中，權(quán)限表現(xiàn)成什么？對功能模塊的操作，對上傳文件的刪改，菜單的訪問，甚至頁面上某個按鈕、某個圖片的可見性控- 角色制，都可屬于權(quán)限的范疇。有些權(quán)限設(shè)計，會把功能操作作為一類，而把文件、菜單、頁面元素等作為另一類，這樣構(gòu)成“用戶- 權(quán)限- 資源”的授權(quán)模型。而在做數(shù)據(jù)表建模時，可把功能操作和資源統(tǒng)一管理，也就是都直接與權(quán)限表進(jìn)行關(guān)聯(lián)，這樣可能更具便 捷性和易擴展性。（見下圖）粟單表梵虹 KVHBERk>菜單名稱VWRCKAR2C30) 萊單 URL VARCKAR2C80) 父蘋車M IRIMBER頁面元索RUBBER頁面元素ID頁両元索

4、漏碼VABCHAKISO)<Bk>文件表文 DNLHBER文件名 VARCHAR2 (50) 文件輻徑VARCHXR2 (30)權(quán)限菜單關(guān)聯(lián)表PBirr NUMBER <£k2>菜單ID NUMBER <£kl>衩限頁面元索關(guān)聯(lián)表權(quán)限ID OMBER <fk2>頁面元素ID OMBER <£kl>權(quán)限文件關(guān)聯(lián)表權(quán)限ID NUMBER <fkl>文件ID NUMBER <£>2>I EH權(quán)限分類)請留意權(quán)限表中有一列“權(quán)限類型”，我們根據(jù)它的取值來區(qū)分是哪一類權(quán)限，如

5、“MEN”表示菜單的訪問權(quán)限、“ OPERATION表示功能模塊的操作權(quán)限、“ FILE”表示文件的修改權(quán)限、“ ELEMENT表示頁面元素的可見性控制等。這樣設(shè)計的好處有二。其一，不需要區(qū)分哪些是權(quán)限操作，哪些是資源，（實際上，有時候也不好區(qū)分，如菜單，把它理解為資源呢還是功能模塊權(quán)限呢？）。其二，方便擴展，當(dāng)系統(tǒng)要對新的東西進(jìn)行權(quán)限控制時， 我只需要建立一個新的關(guān)聯(lián)表“權(quán)限 XX關(guān)聯(lián)表”， 并確定這類權(quán)限的權(quán)限類型字符串。這里要注意的是，權(quán)限表與權(quán)限菜單關(guān)聯(lián)表、 權(quán)限菜單關(guān)聯(lián)表與菜單表都是一對一的關(guān)系。 （文件、 頁面權(quán)限點、 功能操作等同理） 也就是每添加一個菜單，就得同時往這三個表中各

6、插入一條記錄。這樣，可以不需要權(quán)限菜單關(guān)聯(lián)表，讓權(quán)限表與菜單表直接關(guān)聯(lián)， 此時，須在權(quán)限表中新增一列用來保存菜單的 ID，權(quán)限表通過“權(quán)限類型”和這個ID來區(qū)分是種類型下的哪條記錄。到這里，RBA（權(quán)限模型的擴展模型的完整設(shè)計圖如下:菜單表用P組IDNUMBER<pk>用尸組名稱VARCHAR2(50)父用尸組名稱NUMBER一用尸組FK GRGROUP用戶組與用戶關(guān)聯(lián)表用戶組IDZ HUMBER <fkl> 用戶 TD2 NUMBER <f2>FK<U_R IF JJSER用戶表用戶ID XWBER<pk>用戶名 VARCHAR2(30)

7、F USER用戶組角色關(guān)聯(lián)表用戶組ID NUMBER <fkl> 箱色I(xiàn)D HUMBER <fk2>FK GR RET ROLENUMBER<pk>VARCHAR2C30)FK URROLE用戶角色關(guān)聯(lián)表fflPlD MV1BER <fkl> 角色EE NUMBER <£k2>角色表菜幀 HWER<Dk>菜單名稱VARCHAR2 (30) 篥單IRL VARCHAR2 (80) 父菜單ID NUMBER頁面元索頁面元索IDNUMBER 5k貝面元索編瑪VAHCHAR2 ©0）FK PM REF MEKV

8、權(quán)限棄單關(guān)聯(lián)表權(quán)限ID NUMBER <£k2> 榮單ID 1IUMDER <fkl >文件表文用DNWEK文件名 VARCKM12(5O) 文件路徑VARCHkR2(80)FK FEELEMEMTF FILEFK PF校限頁面元素關(guān)聯(lián)轟權(quán)限ED NINBER <fk2> 頁擊兀親ID NUMBER. <fkl>權(quán)限ID NUMBER <fkl> 文件ID KVMBER <:竝FK_FM_RE 社"IVIIK企 E_REF_PRIVI礙JF 羽辻 7ILEGE /權(quán)服表權(quán)腋 DEMBER<pk>權(quán)

9、限類型VARCHKR2C50)角色權(quán)限關(guān)聯(lián)表角色I(xiàn)D NUMBER <£kl> 叔匣ID NUMBER <£k2>功能操作表操作名稱 操作編瑪 攔戡URI前綴 父操作ID、FK FO REF PRIVILEGE 丄 FK PO REFjfPERATION、 /KUMBER<pk>VARCKAR2 (50)VARCKAR2 ($0)VARCKAR2 (80) NUIMBER權(quán)限按作關(guān)聯(lián)表權(quán)限ID TOPER <fkl> 操作ID HUMBER <fk2>隨著系統(tǒng)的日益龐大，為了方便管理，可引入角色組對角色進(jìn)行分類管理

10、，跟用戶組不同，角色組不參與授權(quán)。例如：某電網(wǎng)系統(tǒng)的 權(quán)限管理模塊中，角色就是掛在區(qū)局下，而區(qū)局在這里可當(dāng)作角色組，它不參于權(quán)限分配。另外，為方便上面各主表自身的管理與查 找，可采用樹型結(jié)構(gòu)，如菜單樹、功能樹等，當(dāng)然這些可不需要參于權(quán)限分配。以上，是從基本的RBAC莫型進(jìn)行了擴展，具體的設(shè)計要根據(jù)項目業(yè)務(wù)的需要作調(diào)整。歡迎大家提出批評意見!這是我后面加的：具體實現(xiàn)的話， 可通過表的關(guān)聯(lián)查詢得到， 根據(jù)用戶 ID 查詢到它擁有的角色， 再通過角色查詢到它所擁有的權(quán)限。 例如， 查詢某個用戶所有授權(quán)的菜單： select m.* from menu mwhere exists (select 'X' from privilege_menu pm, privilegee p where pm.privilege_id = p.privilege_idand p.privilege_type = 'MENU'and pm.menu_id = m.menu_idand exists(select 'X'from role_privilege rpwh