权限管理系统如何分别实现对用户和角色的授权
目前,大多数权限系统,都是基于RBAC的理念来设计的,关于RBAC,摘抄一下百度百科的解释:
在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而 得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以 很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起 来以囊括更广泛的客观情况。
http://baike.baidu.com/link?url=vS4hKX1RrOgUUO325gBs_VdhDFCc4d07-6fqvu19bDWnE8Ljy_2ema98BA8LlQBBd-mnFzzix-CaTv1_0avfD_
简而言之:具体操作时,在系统中创建一个角色,给角色添加人,给角色授予操作权限,那么这些人就具有了这些操作权限,在应用中判断的时候最终应该是判断某个人是否有某个权限(关于权限的最终判断,可参考这篇文章http://www.cnblogs.com/hnsongbiao/p/5087359.html),
一、给用户授权
实际应用中,完全基于RBAC可能并不满足需求,就比如 Windows 虽然有 管理员组 / 普通用户组 / 来宾组之分,但它的私人文件夹还是会按用户的权限进行分配,而不会为了某一用户增加一个角色,那么在通用的权限管理系统中如何实现呢,先看下界面
给指定的用户授予权限,右边的子系统,表示是给该用户授予这个系统的操作权限,点击上面的用户按钮,弹出授权页面,选中后保存,用户就具有选中的操作权限了,见下图:
二、给角色授权
角色权限配置是权限系统必备的,主要功能就是创建角色,向角色中添加人(或者给人设置角色),给角色配置操作权限,
给人设置角色,在第一个页面中也可以实现,如下图
角色权限管理中也可以为角色添加人,
上面是为角色添加人或为人设置角色的方法。
现在,再看看如何给角色设置操作权限,角色的操作权限也就是角色里的人的操作权限。
设置及保存用户的操作权限,操作权限可能是一个地址,也有可能是一个按钮,下图:
在界面上选中操作权限保存,这样角色就具有了对应的操作权限了。
在具体应用中,判断用户操作权限时,应该先获取给用户单独设置的权限,以及用户的角色具有的权限,两者取并集,大部分权限系统只做到按角色的权限判断。
通过这个方式,我们实现了按人设置权限,及按角色设置权限,满足系统中的一些特殊需求。
大多数情况下,用户(User)、角色(Role)、操作权限(Permission),三者之间的关系,可以把角色看做一个个容器,这个容器里有很多用户,有很多操作权限,用户和操作权限之间是多对多的关系,用户通过角色与操作权限关联起来,某些情况,也要求用户不通过角色,直接与操作权限关联,通用权限管理系统就可以解决这类需求。
用户始终是授权的主体,片面上说,有了角色,实际上就为很多人同时授权提供了方便,但是不应该因为有了角色,给用户授权就必须要创建一个角色,那样就不太灵活了。