RBAC-用戶角色權(quán)限設(shè)計(jì)方案(非常好)

1、擴(kuò)展 RBAC 用戶角色權(quán)限設(shè)計(jì)方案RBA（C Role-Based Access Control ，基于角色的訪問控制） ，就是用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)。 簡單地說， 一個(gè)用戶擁有若干角色， 每一個(gè)角色擁有若干權(quán)限。這樣，就構(gòu)造成“用戶 - 角色- 權(quán)限”的授權(quán)模型。在這種模型中，用戶與角色之間，角色與權(quán)限之間，一 般者是多對多的關(guān)系。（如下圖）角色是什么？可以理解為一定數(shù)量的權(quán)限的集合，權(quán)限的載體。例如：一個(gè)論壇系統(tǒng)，“超級管理員”、“版主”都是角色。版主可管理版內(nèi)的帖子、可管理版內(nèi)的用戶等，這些是權(quán)限。要給某個(gè)用戶授予這些權(quán)限，不需要直接將權(quán)限授予用戶，可將“版主”這個(gè) 角色賦予該用戶

2、。當(dāng)用戶的數(shù)量非常大時(shí)，要給系統(tǒng)每個(gè)用戶逐一授權(quán)（授角色），是件非常煩瑣的事情。這時(shí)，就需要給用戶分組，每個(gè)用戶組內(nèi)有 多個(gè)用戶。除了可給用戶授權(quán)外，還可以給用戶組授權(quán)。這樣一來，用戶擁有的所有權(quán)限，就是用戶個(gè)人擁有的權(quán)限與該用戶所在用 戶組擁有的權(quán)限之和。（下圖為用戶組、用戶與角色三者的關(guān)聯(lián)關(guān)系）用尸組用尸組IDNUMBER用尸組名稱VlRCHilR2 (50)兌用戶疽茗稱NVWBEN(：引入用戶鈕)- 角色在應(yīng)用系統(tǒng)中，權(quán)限表現(xiàn)成什么？對功能模塊的操作，對上傳文件的刪改，菜單的訪問，甚至頁面上某個(gè)按鈕、某個(gè)圖片的可見性控制，都可屬于權(quán)限的范疇。有些權(quán)限設(shè)計(jì)，會把功能操作作為一類，而把文件、

3、菜單、頁面元素等作為另一類，這樣構(gòu)成“用戶- 權(quán)限- 資源”的授權(quán)模型。而在做數(shù)據(jù)表建模時(shí)，可把功能操作和資源統(tǒng)一管理，也就是都直接與權(quán)限表進(jìn)行關(guān)聯(lián)，這樣可能更具便 捷性和易擴(kuò)展性。（見下圖）菜單表NVNBER菜單名稱VARCKAR2G0) 萊單URL 父菜單VARCKAR2C80)KIMBERFK PF1 EEF MEinr頁面元索貢両元 頁頁元索編碼ISO)文件表文ffi：II麗BER 3文件名 VARCHW2 (50)文件路徑VARCHXR2 (S0)權(quán)限菜單關(guān)聯(lián)表權(quán)限D(zhuǎn) NUMBER 菜單ID NUMBER FK_PM JtfKL 11淨(jìng)E_REFRI V席.翻比卩陋匹住他權(quán)服表協(xié)阪

4、WMBER楓限類型YAICHAB2 60)功能操作義操作名稱 操作編碼 攔截VH前竦 父操作EDWWERVAICHAB2 (50) mCHAJGO) TOCHAH2 (80) 1PJWEERERATION權(quán)限操作關(guān)聯(lián)表權(quán) EglD NWBERfldS撫作ID NUWBER 2(閨；權(quán)限分類)請留意權(quán)限表中有一列“權(quán)限類型”，我們根據(jù)它的取值來區(qū)分是哪一類權(quán)限，如“MEN”U 表示菜單的訪問權(quán)限、“ OPERATIO”N表示功能模塊的操作權(quán)限、“ FILE”表示文件的修改權(quán)限、“ ELEMEN”T表示頁面元素的可見性控制等。這樣設(shè)計(jì)的好處有二。其一，不需要區(qū)分哪些是權(quán)限操作，哪些是資源，（實(shí)際上

5、，有時(shí)候也不好區(qū)分，如菜單，把它理解為資源呢 還是功能模塊權(quán)限呢？） 。其二，方便擴(kuò)展，當(dāng)系統(tǒng)要對新的東西進(jìn)行權(quán)限控制時(shí)， 我只需要建立一個(gè)新的關(guān)聯(lián)表“權(quán)限 XX關(guān)聯(lián)表”， 并確定這類權(quán)限的權(quán)限類型字符串。這里要注意的是，權(quán)限表與權(quán)限菜單關(guān)聯(lián)表、 權(quán)限菜單關(guān)聯(lián)表與菜單表都是一對一的關(guān)系。 （文件、頁面權(quán)限點(diǎn)、 功能操作等同理） 也就是每添加一個(gè)菜單，就得同時(shí)往這三個(gè)表中各插入一條記錄。這樣，可以不需要權(quán)限菜單關(guān)聯(lián)表，讓權(quán)限表與菜單表直接關(guān)聯(lián)， 此時(shí)，須在權(quán)限表中新增一列用來保存菜單的 ID，權(quán)限表通過“權(quán)限類型”和這個(gè) ID 來區(qū)分是種類型下的哪條記錄。到這里， RBAC權(quán)限模型的擴(kuò)展模型的完

6、整設(shè)計(jì)圖如下：用尸組用戶爼IDHUMBERGk用尸組名稱VkRCHAR2 (SO)父用尸組名稱NUMBER/r GROUP菜單表菜宜 D HUHBER 英罰名稱VARCKAR2 (30) 乗車URLVARC(AR2 (80)父菜單ED NUMBER頁面元索頁面元素IDNUMBER一 Gk頁面元索漏瑪YARCHAR2 (50：文件表文用i NUMBER文件名 VARCHAR2 (50) 文件路徑VARCHAR2 (80)GROUPFKFK PE REF ELEMENTTK PFF FILE用戶組與用戶關(guān)聯(lián)裘權(quán)限菜單關(guān)聯(lián)表權(quán)限頁面元素關(guān)聯(lián)表權(quán)限文件關(guān)聯(lián)表用 P10ID2 HUMBER 用戶H)2

7、HUMBER 用戶姐ID NUMBER 角色TD NUMBER 權(quán)限ID NUMBER 親單IE NUMDEB 權(quán)限ID NUMBER 頁畜亢紊ID KIMBER 權(quán)限ID TIMBER 文件ID NUMBER F5_REF_USER用戶表用戶ID RVMBER用戶名 VARCHAR2(30)F USERF ROLEROLEFKHUMBERVARCHAR2 (30)FKJM_RIRIVIIKG5)E_RIFZpRIvff-REFnLEGEXI用戶角色關(guān)聯(lián)表用戶ID HUMBER 角色I(xiàn)D HUMBER 角色表權(quán)限表權(quán)噴 D NUMBER權(quán)限類型VARCHAR2 (50)功能操作表稱 操作編碼

8、攔截TJR諭綴 父操作IDNUMBERVARCHAR2 GO)VAECHAR2 (50)VAECHAR2 (80) NUMBERFRP_RE 比血IVILEGE角色權(quán)限關(guān)聯(lián)表權(quán)眼樣作關(guān)聯(lián)表角色I(xiàn)D 1TUMBER 權(quán)PRlD 1RIMBER 枳卩Rid humbek 撫fto HUMBER 因:RBAC枚限模型擴(kuò)展)隨著系統(tǒng)的日益龐大，為了方便管理，可引入角色組對角色進(jìn)行分類管理，跟用戶組不同，角色組不參與授權(quán)。例如：某電網(wǎng)系統(tǒng)的 權(quán)限管理模塊中，角色就是掛在區(qū)局下，而區(qū)局在這里可當(dāng)作角色組，它不參于權(quán)限分配。另外，為方便上面各主表自身的管理與查 找，可采用樹型結(jié)構(gòu)，如菜單樹、功能樹等，當(dāng)然這

9、些可不需要參于權(quán)限分配。以上，是從基本的 RBAC模型進(jìn)行了擴(kuò)展，具體的設(shè)計(jì)要根據(jù)項(xiàng)目業(yè)務(wù)的需要作調(diào)整。歡迎大家提出批評意見！這是我后面加的：具體實(shí)現(xiàn)的話， 可通過表的關(guān)聯(lián)查詢得到， 根據(jù)用戶 ID 查詢到它擁有的角色， 再通過角色查詢到它所擁有的權(quán)限。 例如， 查詢某個(gè)用戶所有授權(quán)的菜單： select m.* from menu mwhere exists (select X from privilege_menu pm, privilegee p where pm.privilege_id = p.privilege_idand p.privilege_type = MENUand pm.menu_id = m.menu_idand exists(select Xfrom role_privilege rpwhere rp.privi