2. 程式人生 > >功能許可權和資料許可權管理的實現

功能許可權和資料許可權管理的實現

阿新 發佈:2018-11-29

1      引言

許可權,可分為“功能(操作)許可權”和資料許可權兩種,在系統中,兩種許可權應當同時有效。例如,在windows系統中,某使用者具有新建一個檔案的功能許可權,該使用者在C盤沒有寫許可權,但在D盤有寫許可權;則該使用者不能把他建立的檔案儲存在C盤而只能儲存在D盤。

在上述例子中,能否建立檔案是由功能許可權來控制的,能否儲存檔案是由資料許可權進行控制的。只有兩者同時有效,使用者的業務才能順利進行。

簡單地說,許可權管理就是對資源的管理。許可權管理的目的就是建立分配資源的規則,以便使用者能夠通過這套規則,獲取他們應該獲得的資源。

1.1     定義

² 功能許可權:

也叫操作許可權,指的是允許拒絕使用者使用系統提供的某個功能。

² 資料許可權:

指的是允許拒絕使用者進行某個資料的增刪改查操作。

² 授權:

指的是分配具體的許可權給具體的人。

² 鑑權:

指的是對具體人的行為,根據許可權規則進行合法性鑑別。

1.2     授權的基本原則

對於授權來說,需要定義的有且只有許可權和授權物件兩個要素。簡而述之,對於功能操作就是“什麼功能授權給哪個使用者來操作”

。同樣,對於資料,就是“什麼資料授權給哪個使用者來操作”

一般情況下,我們並不會對單一的功能/資料進行單使用者的授權管理,因為這樣使用者操作起來顯然非常麻煩。為了方便和簡化操作,一般的授權規則是:

哪些功能/資料授權給哪些使用者

1.3     授權的一般方法

在實際的授權管理中,我們總是根據業務的需求,將一些在業務上不可分割的、需要允許使用者一起使用的功能,組合成一個許可權集合進行統一授權。對於這樣的許可權集合,我們一般稱之為“角色”。也就是說,我們通過角色來定義使用者被允許使用哪些功能和訪問哪些資料。當然,我們一般把功能和資料分開來進行授權,以便獲得更加靈活的許可權規則配置方法,以適應更廣泛的授權需求。

由於某些不同使用者在該業務上需要具有相同的許可權,那麼這些不同的使用者在特定的業務上就具有了共性,可以作為一個抽象的使用者來進行許可權的授予。授權管理使用的抽象的使用者,也就是使用者集合,除了普遍使用的“使用者組”外,還可以引用別的業務中所使用的物件。例如組織機構管理中的“機構/部門”、“職位”和工作流中使用的“崗位”等,在授權管理中都是作為使用者集合使用,本質毫無二致。

通過讓抽象的使用者扮演角色,即可使這個抽象的使用者所代表的真實使用者獲得完成業務所需的許可權。通過這樣的方式,可以簡化授權管理,方便使用者操作。

2      授權管理

將特定的許可權授予特定的人群的過程,我們稱之為“授權”。為了能夠方便地進行授權操作,我們必須要有一個能夠提供合理授權方法的使用者介面。

2.1    功能許可權的授權

對於一個可擴充套件的系統來說,意味著功能是不斷變化的。為了適應這種不能事先確定的變化,必須將功能許可權進行分散管理。分散管理的好處如下:

²  天然地支援業務的動態變化,系統實現簡單。

²  許可權的調整範圍可控制在區域性範圍,方便許可權的管理和操作。

2.1.1   一般許可權的授予

功能許可權是單維度的,可以通過簡單的在功能列表或功能樹上進行勾選來確定一個“角色”所允許的功能操作。然後,讓相應使用者成為該“角色”的“扮演者”。這樣就可以把該角色所允許的功能操作授權給指定的使用者了。

如果需要有更多的不同角色,那麼新建角色,勾選不同的被允許的功能操作,並分別讓相應的使用者成為新角色的成員即可。

2.1.2   例外許可權的授予

如果某個特定使用者張三需要額外的一個許可權,那麼新建一個允許該功能操作的角色,並讓張三成為該角色成員即可使張三擁有額外的許可權。

如果某個特定使用者李四需要比同一專案組的其他人少一個許可權,那麼新建一個拒絕該功能操作的角色,並讓李四成為該角色成員即可使李四不能進行該項操作。因為在鑑權過程中,拒絕的優先順序要高於允許。

2.2    資料許可權的授權

資料在系統中共同的特性有如下維度:

²  業務維度:不同的業務產生不同的資料

²  生產者維度:相同的業務會有多個數據生產者和生產部門

有些業務需要使用者訪問其他業務的資料,或者是其他資料生產者中特定生產者的生產的資料。簡單的說,就是資料許可權的授予必須支援跨業務和跨部門。

2.2.1   一般許可權的授予

由於資料的特殊性質,實際上在有限範圍內的授權比功能許可權的授予更加方便。因為生產部門和生產者具有天然的分類屬性,所以象“本機構”、“本部門”、“本人”這些對生產者維度的進一步抽象就有了用武之地。

在不對業務維度做限定的情況下,就可以配置例如“允許本部門的成員管理(增刪改查)本部門的資料”這樣的許可權規則。那麼對於不同部門的使用者,這條共同的規則所產生的效果並不相同,具體的效果是與使用者所在的部門的業務和產生的資料相對應的。

根據以上分析,我們可以內建一些抽象規則,例如:

²  允許管理本機構(含下級機構/部門)的資料

²  允許管理本部門(含下級部門)的資料

²  僅允許管理本部門的資料

²  僅允許管理本人的資料

²  允許檢視本機構(含下級機構/部門)的資料

²  允許檢視本部門(含下級部門)的資料

²  僅允許檢視本部門的資料

²  僅允許檢視本人的資料

2.2.2   自定義許可權的授予

一般資料許可權的授予只能侷限於符合高度抽象規則所限定的範圍。如果要在這個範圍之外的資料進行授權,例如想讓財務部的人訪問採購部的資料,顯然是一般資料授權所不能支援的。

這個時候,我們就必須要提供使用者在角色中自由定義允許或禁止使用者訪問的資料集的方法。上面說過,一個數據需要在業務和生產者兩個維度上進行描述,才能確定資料。那麼在定義角色所允許訪問的資料集時,因為授權分散在不同的業務中,所以業務是確定的,剩下的就是需要指定一個或多個生產者。在這裡,生產者可以使用抽象方法進行歸納分類。

最後,類同於功能許可權的授權方式,我們把定義好的角色分配給一個抽象的使用者即可將一個自定義的資料許可權授予抽象使用者代表的真實使用者。

3      許可權管理的實現

許可權管理的具體實現方法,離不開資料結構的支援。相對來說,有具體的資料結構,我們也更容易理解許可權的管理機制。在討論許可權之前,我們還需要先了解許可權管理的物件:功能資源和資料資源。這些資源同樣需要一個數據結構去進行定義。

3.1    組織機構和使用者

組織機構表:

[sql] view plain copy
  1. CREATE TABLE Sys_Organization(  
  2. [ID]               VARCHAR(36) PRIMARY KEY NONCLUSTERED DEFAULT NEWID(),  
  3. [SN]               BIGINT CONSTRAINT IX_Sys_Organization UNIQUE CLUSTERED IDENTITY(1,1),                               --自增序列  
  4. [ParentId]         VARCHAR(36),                                                                                        --父節點ID  
  5. [NodeType]         INT NOT NULL,                                                                                       --節點型別:1、機構;2、部門;3、職位  
  6. [Index]            INT,                                                                                                --序號  
  7. [Code]             VARCHAR(32),                                                                                        --編碼  
  8. [Name]             NVARCHAR(32) NOT NULL,                                                                              --名稱  
  9. [Alias]            NVARCHAR(16),                                                                                       --別名/簡稱  
  10. [FullName]         NVARCHAR(32),                                                                                       --全稱  
  11. [PostId]           VARCHAR(36),                                                                                        --崗位ID,字典  
  12. [Validity]         BIT DEFAULT 0 NOT NULL,                                                                             --是否有效:0、無效;1、有效  
  13. [CreatorUserId]    VARCHAR(36),                                                                                        --建立人ID  
  14. [CreateTime]       DATETIME DEFAULT GETDATE() NOT NULL                                                                 --建立時間  
  15. )  
  16. GO  

使用者表: 

[sql] view plain copy
  1. CREATE TABLE Sys_User(  
  2. [ID]               VARCHAR(36) PRIMARY KEY NONCLUSTERED,                                                               --此ID與主資料ID相同  
  3. [SN]               BIGINT CONSTRAINT IX_Sys_User UNIQUE CLUSTERED IDENTITY(1,1),                                       --自增序列  
  4. [Name]             NVARCHAR(16) NOT NULL,                                                                              --使用者名稱  
  5. [LoginName]        VARCHAR(36) NOT NULL,                                                                               --登入名  
  6. [Password]         VARCHAR(32) DEFAULT 'e10adc3949ba59abbe56e057f20f883e' NOT NULL,                                    --登入密碼,儲存密碼的MD5值,初始密碼123456  
  7. [Description]      NVARCHAR(MAX),                                                                                      --描述  
  8. [BuiltIn]          BIT DEFAULT 0 NOT NULL,                                                                             --是否預置:0、自定;1、預置  
  9. [Validity]         BIT DEFAULT 0 NOT NULL,                                                                             --是否有效:0、無效;1、有效  
  10. [CreatorUserId]    VARCHAR(36),                                                                                        --建立人ID  
  11. [CreateTime]       DATETIME DEFAULT GETDATE() NOT NULL                                                                 --建立時間  
  12. )  
  13. GO  

3.2    資源

3.2.1   模組和功能

模組表: 

[sql] view plain copy
  1. CREATE TABLE Sys_Module(  
  2. [ID]               VARCHAR(36) PRIMARY KEY NONCLUSTERED DEFAULT NEWID(),  
  3. [SN]               BIGINT CONSTRAINT IX_Sys_Module UNIQUE CLUSTERED IDENTITY(1,1),                                     --自增序列  
  4. [ParentId]         VARCHAR(36),                                                                                        --父模組ID  
  5. [Level]            INT NOT NULL,                                                                                       --模組級別:0、主窗體模組;1、普通業務模組;2、業務子模組  
  6. [Name]             NVARCHAR(64) NOT NULL,                                                                              --名稱  
  7. [Location]         VARCHAR(MAXNOT NULL,                                                                              --檔案安裝路徑  
  8. [DataTable]        NVARCHAR(64),                                                                                       --模組主資料表名稱  
  9. [Description]      NVARCHAR(MAX),                                                                                      --描述  
  10. [RegisterTime]     DATETIME DEFAULT GETDATE() NOT NULL                                                                 --模組註冊時間  
  11. )  
  12. GO  

模組功能表: [sql] view plain copy
  1. CREATE TABLE Sys_ModuleAction(  
  2. [ID]               VARCHAR(36) PRIMARY KEY NONCLUSTERED DEFAULT NEWID(),  
  3. [SN]               BIGINT CONSTRAINT IX_Sys_ModuleAction UNIQUE CLUSTERED IDENTITY(1,1),                               --自增序列  
  4. [ModuleId]         VARCHAR(36) FOREIGN KEY REFERENCES Sys_Module(ID) ON DELETE CASCADE NOT NULL,                       --模組註冊ID  
  5. [Name]             NVARCHAR(64) NOT NULL,                                                                              --名稱  
  6. [SubModuleId]      VARCHAR(36) FOREIGN KEY REFERENCES Sys_Module(ID),                                                  --子模組ID(功能作為子模組入口時)  
  7. [Description]      NVARCHAR(MAX)                                                                                       --描述  
  8. )  
  9. GO  

3.2.2   業務資料

物資資料表: 

[sql] view plain copy
  1. CREATE TABLE MDG_Material(  
  2. [MID]              VARCHAR(36) PRIMARY KEY NONCLUSTERED FOREIGN KEY REFERENCES MasterData(ID) ON DELETE CASCADE,       --主資料索引ID  
  3. [SN]               BIGINT CONSTRAINT IX_MDG_Material UNIQUE CLUSTERED IDENTITY(1,1),                                   --自增序列  
  4. [Index]            INT,                                                                                                --序號  
  5. [BarCode]          VARCHAR(16),                                                                                        --條形碼  
  6. [Brand]            NVARCHAR(16),                                                                                       --品牌  
  7. [Model]            NVARCHAR(32),                                                                                       --型號  
  8. [Size]             DECIMAL(20,6),                                                                                      --規格  
  9. [SizeType]         VARCHAR(36) FOREIGN KEY REFERENCES MasterData(ID),                                                  --規格單位ID,字典  
  10. [Color]            NVARCHAR(8),                                                                                        --顏色  
  11. [Material]         NVARCHAR(8),                                                                                        --材質  
  12. [StorageType]      VARCHAR(36) FOREIGN KEY REFERENCES MasterData(ID),                                                  --儲存方式ID,字典  
  13. [Description]      NVARCHAR(MAX),                                                                                      --描述  
  14. [Enable]           BIT DEFAULT 1 NOT NULL,                                                                             --是否可用:0、不可用;1、可用  
  15. [CreatorDeptId]    VARCHAR(36) FOREIGN KEY REFERENCES Sys_Organization(ID),                                            --建立部門ID  
  16. [CreatorUserId]    VARCHAR(36) FOREIGN KEY REFERENCES Sys_User(ID) NOT NULL,                                           --建立人ID  
  17. [CreateTime]       DATETIME DEFAULT GETDATE() NOT NULL                                                                 --建立時間  
  18. )  
  19. GO  

3.3    RBAC模型

3.3.1   角色

角色表: 

[sql] view plain copy
  1. CREATE TABLE Sys_Role(  
  2. [ID]               VARCHAR(36) PRIMARY KEY NONCLUSTERED DEFAULT NEWID(),  
  3. [SN]               BIGINT CONSTRAINT IX_Sys_Role UNIQUE CLUSTERED IDENTITY(1,1),                                       --自增序列  
  4. [Name]             NVARCHAR(64) NOT NULL,                                                                              --名稱  
  5. [Description]      NVARCHAR(MAX),                                                                                      --描述  
  6. [BuiltIn]          BIT DEFAULT 0 NOT NULL,                                                                             --是否預置:0、自定;1、預置  
  7. [CreatorUserId]    VARCHAR(36) FOREIGN KEY REFERENCES Sys_User(ID) NOT NULL,                                           --建立人ID  
  8. [CreateTime]       DATETIME DEFAULT GETDATE() NOT NULL                                                                 --建立時間  
  9. )  
  10. GO  

3.3.2   角色成員

角色成員(使用者)表: 

[sql] view plain copy
  1. CREATE TABLE Sys_Role_User(  
  2. [ID]               VARCHAR(36) PRIMARY KEY NONCLUSTERED DEFAULT NEWID(),  
  3. [SN]               BIGINT CONSTRAINT IX_Sys_Role_User UNIQUE CLUSTERED IDENTITY(1,1),                                  --自增序列  
  4. [RoleId]           VARCHAR(36) FOREIGN KEY REFERENCES Sys_Role(ID) ON DELETE CASCADE NOT NULL,                         --角色ID  
  5. [UserId]           VARCHAR(36) FOREIGN KEY REFERENCES Sys_User(ID) NOT NULL,                                           --使用者ID  
  6. [CreatorUserId]    VARCHAR(36) FOREIGN KEY REFERENCES Sys_User(ID) NOT NULL,                                           --建立人ID  
  7. [CreateTime]       DATETIME DEFAULT GETDATE() NOT NULL                                                                 --建立時間  
  8. )  
  9. GO  

3.3.3   角色許可權

角色許可權表:

[sql] view plain copy

  1. 相關推薦

    功能許可權資料許可權管理實現

    1      引言 許可權,可分為“功能(操作)許可權”和資料許可權兩種,在系統中,兩種許可權應當同時有效。例如,在windows系

    宿舍管理系統需求分析之功能構架資料字典

    4.功能框架 宿管服務管理系統功能框架如下圖所示: 5.資料字典 經過可行性分析和初步需求調查,結合該例項具體情況,抽象出該子系統的業務流程圖 各項需求分析如下: ① 宿管資訊登記 對宿管基本資訊進行登記:姓名、性別、電話、科目、地址、職業,安排管理宿樓 管

    ubuntu以root許可權開啟資料管理

    1、 在ubuntu12.04的系統內,可以更加簡單,以下的2和3兩種方式測試無法用。  在終端中使用命令:gksudo nautilus以ROOT方式開啟資料夾,然後在資料夾中進入需要的目錄。 2、在ubuntu10.10或以下的系統中,需要安裝  sudo apt-ge

    十,iOS 健康資料獲取許可權寫入許可權

    本來以為以後可以好好種樹的,結果發現新增的資料可以在健康裡面看到,但是無法在支付寶這些裡面獲取。。。 1,Xcode 8之後需要在info.plist 中設定以下兩個許可權;   (1)Privacy - Health Update Usage Description

    Ubuntu 檔案資料夾檢視許可權設定許可權

    ubuntu下檢視許可權的命令為:ls -l filename ls -ld folder ubuntu下設定許可權的命令為:一共有10位數 其中: 最前面那個 - 代表的是型別 中間那三個 rw- 代表的是所有者(user) 然後那三個 rw- 代表的是組群(gro

    Spring Cloud實戰 | 第十一篇:Spring Cloud Gateway閘道器實現對RESTful介面許可權按鈕許可權細粒度控制

    ## 一. 前言 hi,大家好,這應該是農曆年前的關於開源專案[有來商城](https://github.com/hxrui) 的最後一篇文章了。 [有來商城](https://github.com/hxrui) 是基於 Spring Cloud OAuth2 + Spring Cloud Gateway

    docker入門實戰(理論+實踐)系列---docker網路配置資料管理

    docker可以存在自身的網路配置和資料卷管理方式,首先docker容器作為一個獨立的執行單元,可以有獨立的IP地址、埠等資訊。同時,nginx是無狀態的,當docker重啟之後,容器會恢復到初始化映象狀態(即docker是無狀態的),資料卷的存在實現了宿主機和docker容器之間的資料共享,本篇文章以n

    與伺服器鬥智鬥勇之預設許可權隱藏許可權

    當我們輸入umask這個命令的時候,如圖,會顯示這個東西,而加上引數-S,則會變得很直觀,很熟悉 [[email protected] ~]# umask 0022 [[email protected] ~]# umask -S u=rwx,g=rx,o

    【 專欄 】- 演算法資料結構C++實現

    演算法和資料結構C++實現 用C++實現各種資料結構和演算法,包括書本《演算法導論》《資料結構-嚴蔚敏》《演算法設計與分析》等的例子,和麵試常用演算法,經典演算法等。 本專欄注重C++語言特徵,包括STL的用法。

    Android系統system使用者許可權root許可權的獲取

    在Android系統中,系統為每一個應用程式(apk)建立了一個使用者和組。這個使用者和組都是受限使用者,不能訪問系統的資料,只能訪問自己的檔案和目錄,當然它也不能訪問其他應用程式的資料。這樣設計可以儘可能地保護應用程式的私有資料,增強系統的安全性和健壯性。      

    Android6.0 危險許可權普通許可權

    本文連結 Normal Permissions如下 ACCESS_LOCATION_EXTRA_COMMANDS ACCESS_NETWORK_STATE ACCESS_NOTIFICATION_

    Android許可權--正常許可權危險許可權

    正常許可權和危險許可權 系統許可權分為幾個保護級別。需要了解的兩個最重要保護級別是正常許可權和危險許可權: 正常許可權涵蓋應用需要訪問其沙盒外部資料或資源,但對使用者隱私或其他應用操作風險很小的區域。例如,設定時區的許可權就是正常許可權。如果應用宣告其需要正

    linux下檔案許可權特殊許可權說明

    umask用來定義新建檔案或目錄的預設許可權,新的目錄的許可權為777-umask設定的值,新建檔案的許可權為666-umask設定的值。若要長期修改umask的值,可以把它寫進/etc/profile或~/.profile或~/.bash_profile中。 [[email protected]

    ORACLE資料庫的使用者許可權角色許可權控制

    這篇文章講述的是ORACLE資料庫的使用者許可權控制,如有錯誤或者不當之處還希望各位大神批評指正。 使用者許可權是什麼? 在資料庫中,使用者可以對資料庫進行的操作叫做使用者的許可權。 如何建立一個使用者? 建立一個名為‘cmc’的使用者

    Oracle查出一個使用者具有的所有系統許可權物件許可權

    專注於JAVA開發技術, 搞過Javascript,Android/iOS, Oracle/MySQL,Linux/Unix等 希望結識更多志同道合的朋友 聯絡方式 新浪微博:  http://weibo.com/luis0223 QQ:  1157387

    Android系統許可權root許可權

    系統是執行在Linux核心上的,Android與Linux分別有自己的一套嚴格的安全及許可權機制, Android系統許可權相關的內容, (一)linux檔案系統上的許可權 -rwxr-x--x system   system       4156 2012-06-30 16:12 te

    chmod 更改許可權檢視許可權

    一、命令:ls  -l  顯示許可權內容 二、基本知識說明 Linux用 戶分為:擁有者、組群(Group)、其他(other),Linux系統中,預設的情況下,系統中所有的帳號與一般身份使用者,以及root的相關信 息, 都是記錄在/etc/passwd檔案中。每個

    linux關於S許可權T許可權的介紹

    linux系統內有檔案有三種身份 u:擁有者  g:群組   o:其他人 這些身份對於文件又有下面許可權 可以用ls -l 檔名 檢視許可權資訊 r:讀許可權,使用者可以讀取文件的內容,如用cat,m

    linux檔案與目錄的預設許可權隱藏許可權

    touch新建檔案或修改檔案時間 每個檔案在liux下都會記錄許多時間引數,其實有三個主要的變動時間,三個時間的意義有多少: * modification time(mtmie): 當檔案內容資料改變時,就會更新這個時間,內容資料是指檔案內容,而不是檔

    【專案實踐】一文帶你搞定頁面許可權、按鈕許可權以及資料許可權

    ![許可權授權.png](https://img2020.cnblogs.com/blog/1496775/202101/1496775-20210108142933342-1432167452.jpg) > 以專案驅動學習,以實踐檢驗真知 # 前言 許可權這一概念可以說是隨處可見:等級不夠進入不了某個