解析大型.NET ERP系统 权限模块设计与实现
权限模块是ERP系统的核心模块之一,完善的权限控制机制给系统增色不少。总结我接触过的权限模块,以享读者。
1 权限的简明定义
ERP权限管理用一句简单的话来说就是:谁 能否 做 那些 事。
文句 | 含义 | 说明 |
谁 | 部门+岗位职责 | 也可以不与部门岗位绑定,省略角色定义。 |
能否 | 能(True) 否(False) | 用0或1,true/false表示能否执行 |
做 | 增加/删除/修改/查询/统计/打印/过帐 | 权限对象 |
哪些 | 通用的/本人的/本组别的/本部门的/本公司的/其他的/多帐套的 | 范围:行政部的办公文具采购申请,PMC运行物料需求计划产生采购部的物料采购计划。 |
事 | 数据(如客户、供应商、订单、报表等) |
关于”能否”文句,支持组合拼接。比如有三个权限对象,分别是增加,删除,修改。用户A只有修改权限,用数字1表示有权限,则A用户的权限字符串可以表示为001,这样可以满足动态增加权限对象的需求。
关于部门岗位职责,也就是通常说的角色(Role),因为角色的含义着重在于实际的业务理解,系统很难控制到这样细节的地方,我们的ERP系统省略了角色表,将权限与用户直接绑定。
2 权限的分类
1) 系统权限 System Login 是否登入系统,能执行哪些模块,可以看到哪些操作菜单项。对没有权限操作的界面应该隐藏或变灰,避免提示”对不起,您没有权限”。
2) 功能权限 Module/Function 对模块和功能能否有执行权限,功能是系统执行权限控制的基本单元。对模块权限的操作,可批量设置模块下功能的权限,程序最终进行判断的地方还是以功能权限为依据。
2) 数据权限 Data/Field 对功能涉及到的数据是否有增删查改的权限,能否编辑和查看相同单据其它用户的数据,能否查看与编辑特殊字段的数据(字段权限),常常是指金额类字段。比如采购模块的采购收货与仓库模块的采购收货,后者应该会隐藏与关联的采购订单中的物料价格信息。字段权限可以与用户或用户组别绑定。
3 权限设计方法:基于角色的访问机制(Role-Based Access Control,RBAC)
先设计用户组别,对用户组别分配权限,再创建用户绑定到用户组别。表与其字段定义:
用户组别(用户组别编码,已取消)
用户组别模块(用户组别编码,模块编码,模块名称,新增权限,删权限除,修改权限,过帐权限,打印权限)
用户组别模块功能(用户组别编码,模块编码,功能编码,新增权限,删权限除,修改权限,过帐权限,打印权限)
用户既可以按照模块批量增加权限,也可单独的逐个功能增加权限。涉及字段权限的地方需要单独设置。
4 优化权限模块设计
1) 考虑多帐套(多数据库)情况下,授权的一致性。要求提取业务数据库中的相似数据到框架数据库中。
2)系统集成。需要考虑与LDAP/DBMS系统的集成性。与域集成时,可以实现免登录直接进入系统。当与其它数据库集成时,根据需要设计各自的用户提供程序,比如OracleUserProvider,MySQLUserProvider,分别实现连接到Oracle和MySQL数据库中执行权限判断。
3) 与硬件设备集成。执行权限判断时自动识别硬件设备,比如Smart Card智能卡或加密狗。
4) 用户密码需要加盐或是MD5加密,或是DES可逆算法加密。拒绝明文存储密码,密码丢失后可用密码重置功能重设密码,考虑强密码策略,包含字母数字和特殊字符组成的密码。
5) 登录限制,限制用户必须在指定的区域(IP地址范围,局域网子网,域)才能登录使用。
6) 对没有权限的功能,应该隐藏或是变灰,以解决权限难题。比如按钮没有变灰或隐藏,点击按钮后才进行权限判断,提示”对不起,您没有权限”,这类提示很不友好,应该要预先判断权限。
7) 考虑用户密码过期,超过一定时间范围后用户必须修改密码以增加安全性。
8) 管理员分配初始密码时,考虑密码生成工具,生成随机字符串密码,符合Windows强密码供管理员使用。
5 业务逻辑中的权限控制
ERP系统中有一些权限控制的地方,比如价格控制,信用控制,流程控制等。这些控制不在通用权限系统中考虑。
举例说明,ERP系统中的用户权限。
模块 | 权限 | 说明 |
系统 | 可进入所有公司 | 否则只能进入指定的公司帐套 |
系统 | 可执行多帐套操作 | A公司的销售单产生B公司的采购单 |
销售 |
可使用所有客户 |
需要使用指定的客户 |
销售 | 允许关闭报价单 | 报价单关闭后不能再生成销售单 |
销售 | 隐藏销售价格 | 销售功能中隐藏价格字段 |
销售 | 允许销售单修改单价 | 销售功能中不允许修改单价 |
销售 | 销售功能中执行价格下限控制 | 销售功能中执行总金额控制,比如客户A的信用上限20万,向客户A卖出货物价值超过20万时,单据无法通过记帐或审核。 |
采购 | 可使用所有供应商 | 否则只能用指定的供应商 |
采购 | 收货单不支持超额收货 | 收货单收货数量为100,是否支持收货120个数量 |
采购 | 隐藏进仓成本 | 隐藏物料进仓价格(先进先出,平均成本) |
采购 | 隐藏采购价格 | 隐藏物料采购价格 |
这些参数控制分布在ERP系统的各个模块功能中,无法实现抽象化设计。
6 权限对象 动态权限
以上设计中,硬性规定了七种权限,它们是增加,删除,修改,查询,统计,打印,过帐。如果要增加其它的权限则会涉及到比较多的改动。考虑将权限对象本身设计为可动态增加的,比如我需要增加一个数据导出权限(Export),只需要在权限对象表中增加一行记录,并分配可以执行此权限的用户或用户组别,增加代码判断即可完成权限系统的开发。动态权限在大型管理系统中很常见,预先设计的固定的权限在实施时无法满足实际需求时,考虑动态权限设计方法。
用友的系统就是把权限设计为一个代码,用一个表保存用户具有的权限的代码。
7 权限申请与批核生效,权限注销
为避免权限申请人与IT之间的信息沟通不畅,定义权限申请批核和生效流程。
由需要何种权限的用户提出申请,填写权限申请表单,选择需要登入的模块和功能,再经由用户所在的部门负责人审批,权限审批通过后,由IT部门确定,权限申请审批生效。
当用户不再需要登入系统或某种权限时,IT部门直接将用户注销或删除相应的权限,避免审计问题。
8 钻石白菜理论
买白菜时,通常为了白菜价格是八毛还是一块与小贩争论不休,斤斤计较;买钻石时,却为了追求好看,高贵,毫不在乎钻石的价格,只求贵的,好看的钻石。
设计权限模块以实用为主,不追求过度设计,不追求更完美的设计。
能满足现有的客户需求,对未来客户增加需要不涉及太多的改动,这样的权限系统设计就是合理合适的。