RBAC Design

    今天有时间学习了一下我们eHR的权限管理设计，同时自己也搜索了一些资料比较了一下，做一个总结写到Blog里面。
    在RBAC里面主要有三个对象：User,Role,Permissions(Opperations),在企业级软件中通常都会选择RBAC来控制用户的访问权限。
    自己尝试的设计了一下，大体想法如下：
    User与Role为多对多的关系，Role与Permissions为多对多的关系，而Permission由Function和AccessLevel两个对象组成，表示某一授权是某个模块的某一操作级别，Function包含FunctionID,名称，URL等信息，而AccessLevel具体为Read,Write,Update三级，以后可能会扩展。其中在获取授权信息的时候设计一个接口IAuthorization具体现在的授权数据信息一般是存在RDBM中，以后可能有Activy Directory或者文件以及XML来实现，所以方便以后的扩展。
    当然更有挑战性的是我们可以处理功能权限，但是数据权限怎样处理，也就是说什么角色能访问什么类型的数据，这个问题怎么解决？

    在参考另外一篇“Design and Implementation of a Flexible RBACService in an ObjectOriented Scripting Language”文章中可以看到这样一张图：
   
    从图中可以看出又多了一个叫Audit的审计类，这个类的加入也就说明了该系统已经达到了C2级别，所以目前我们的设计中应该添加这样一个类来处理审计！
    在稍后，准备复习一下安全级别的定义，并做一个笔记。