混合了RBAC和ACL的权限系统(一) -- 用户组织结构
最近的工作是一个基础设计,打造一个基于RBAC和ACL的权限基础组件。
这个基础组件的特点是:同时混合了RBAC和ACL的认证方式,也就是说同时提供系统级别的授权(RBAC)和对象级别的授权(ACL)。
1. 表结构说明
1)组织单位(Organization)
组织单位作为基本结构单位。在人员的组织结构中,是用来表示组织结构树。(例如公司)
|
名称 |
定义 |
说明 |
|
id |
bigint |
主键,组织结构id |
|
name |
varchar |
名称 |
|
dn |
varchar |
distinguish name |
|
parentid |
varchar |
父组织单位的id |
2) 用户(User)
是最小的自然单位,无法再包括子节点。对应自然人。(例如员工)
|
名称 |
定义 |
说明 |
|
id |
bigint |
主键,用户id |
|
name |
varchar |
名称 |
|
password |
varchar |
密码 |
|
dn |
varchar |
distinguish name |
|
parentid |
varchar |
所属的组织单位的id |
3) 用户组(Group)
包含了多个用户的组(例如公司中的项目组)
|
名称 |
定义 |
说明 |
|
id |
bigint |
主键,用户组id |
|
name |
varchar |
显示名称 |
|
dn |
varchar |
distinguish name |
|
parentid |
varchar |
所属的组织单位的id |
4) 属性(Attributes)
用来记录用户、用户组、组织单位的属性。
|
名称 |
定义 |
说明 |
|
id |
bigint |
主键,属性id |
|
ownerid |
bigint |
属性的拥有者id |
|
ownertype |
varchar |
属性拥有者类型:用户、用户组、组织单位 |
|
name |
varchar |
属性名称 |
|
attribute |
Text |
属性值 |
2. 关系说明
1) 用户组和组织单位:用户组是可以用来分配权限,而组织单位只是一个用来容器,不能用来分配权限,可以对它做组策备应用,组织简单一点说像一个文件夹,用来规划一个AD对象的。(比如一个公司可以拥有多个项目组,项目组是分配权限和资源的单位)
2) 用户和用户组: 是多对多的关系,同一个用户可以隶属于多个工作组,同一个工作组可以包含多个用户。(比如某个员工可以同时为多个项目组工作)
3) 用户和组织单位: 是一对一的关系,同一个用户只能在某个组织单位中。比如一个员工可以同时为多个项目组(用户组)工作,但是员工只能隶属于一个公司
