用户权限管理设计
用户管理权限设计一直是大家讨论的热点,因为几乎涉及到每一个开发的业务系统。我找了很多很多的资料,大家的核心基本上都是一样的:基于角色管理. 用户,角色,模块,权限的相互组合,就可以形成一个强大的权限管理系统。
最近在一个项目中设计的一个用户权限的设计,很乐意与大家一起讨论及分享.
设计思路
我的设计思路或者说是我想要实现的功能
1.用户的权限通过角色来控制,一个用户可以拥有多个角色.
2.用户拥有不同角色时,其权限应该是多个角色相互的补集.
3.一个角色拥有多个模块
4.用户的前台菜单显示根据角色所拥有的模块所决定,不同的用户在前端显示的操作菜单是不一样的。
5.页面中的功能按钮根据模块中所包含的功能所定义,通过模块及角色所拥有的权限进行控制
6.可看某个模块有哪些用户,哪些对应角色,并对其进行特殊权限设置.
7.可以针对单个用户进行特殊设置
我在我的Project中,基本上达到了以上的效果及功能,但在实际过程中发现有些不足之处。因为整个权限设计是基于数据库来设计中,所以数据的读取当数据量大时(我所说的数据量是以万以上来计)可能对性能有一定的影响。但对于一般来说,几千用户之类的我想还是可以承受的。我会在后面说明不足之处。
数据库设计
基本设计:
1.首先,设计数据库.
数据库的设计其实我估计大家都很熟悉了
基本表:用户表,角色表,模块表,功能表,管理员表.如果涉及到企业性质的,可能会根据需要加上组织结构表,群组表等其它辅助表
用户
管理员
角色
模块
(我的模块表考虑了子模块的因素,所以会有深度,父模块ID这两个字段,在后来开发过中,由于思路的转变,IsRootModule,FunctionCode我都没有用到,为了让整个权限系统通变得更通用,我都将其单独设计成了另一个表)
功能表(功能表就是模块对应的功能:增加,删除,修改,详细,列表,浏览,导出,导入之类的)
业务表:用户-角色表 模块-功能表 角色-模块表
要实现一个用户多个角色(1 to n),一个角色多个模块(1 to n),一个模块多个功能(1 to n),那就得加上几个相关的业务表,之前考虑用视图去实现,我个人之见,视图最好只用来读取数据,不要用来进行数据操作.后来证明是不可取的,这里要注意的就是在实际的业务操作中,应该尽量避免重复的数据录入. 这些表都很简单,但却很关键
用户-角色:
角色-模块:
模块-功能:
大家可以看到,表结构很简单,字段也很少,设计也差不多。都是将相关联的字段ID取出来做数据存取。
视图:用户-角色-模块-功能视图
可能大家会觉得很奇怪,为什么这里出现member_role呢。因为我们在数据表中只存取了ID值,而对应的RoleName字段并没有包含其中,这里的视图就是获取关联表中其他所需要的字段数据了。另外两个视图大家看名字应该就知道他的用处了。
存储过程:各自表的增加,删除,修改,及列表数据. 判断是否存在相同的数据
(CUDLIS-Create, Update,Delete,IfExist,Show,List)
存储过程我就不一一列出了,很简单的,你只要写出下面这些基本上你在开发过程就不会有太多问题了. 注意的是:在相互关联的业务表中,最好能对数据插入进行重复数据判断(用户角色表,模块功能表,角色模块表,尽量避免重复的数据插入)我把大致需要实现的业务列个表给大家参考:
用户表:(Insert ,Update ,IfExist ,Show, Delete)
用户角色表:(Insert ,Update,IfExist,Delete,RoleListByUserID,UserListByRoleID)
角色表:(Insert,Update,IfExist,Show,Delete)
角色模块表:(Insert,IfExist,Delete,Show,RoleListByModuleID,ModulistByRoleID)
模块表:(Insert,Update,IfExist,Show,Dlete,ListByRootModuleID,ListByModuleLevel)
模块功能表:(Insert,Update,Delete,FunctionListByModuleID)
针对用户直接获取其所有的权限时,应该有个单独的Procedure从视图中Member_Role_Module_Function中获取其对应的数据,这样就可以得到想要的东西了。
数据库设计部分应该就这样差不多了。我想这应该是通用的。在实际运用过程中,我个人认为应该有一些改进点:
1.模块与功能部分,可以用字符串的形式将模块对应的功能存在一个数据字段中,这样可能在你的代码编写中可以省下较多的时间并带来更多的便利(主要是可以用split()来代替频繁的数据获取业务)这个我在最初设计中没有想到这点,有点失策.
2.针对N级模块的权限展现问题,如何让父模块继承子模块的权限这个是我没有考虑到的,不过我想应该可以用IsRootModule这个字段来作文章,可惜我还没想到如何去整这个字段。当子模块很多时,在前端UI展示的时候是否会出现很慢的情况?这个我没有去做测试。带有一定的风险
但在前端UI展示我还没想到或实现好的办法,我能想到的应该是像GridViewTree那种不错。
这个权限设计已经在我的Project中运用,暂时没有发现什么问题,而且为我以后对其它系统集成也很有帮助。至于如何在C#中实现业务,个人认为只要知道数据库如何整的,那C#中的业务实现只是一个取数操作过程。下篇与大家再共同分享讨论.
上篇讲完了数据库的设计,这次我们讲讲在Net中的实现
UI的实现,主要是方便用户操作,考虑用户体验,这个没有什么好说的
后台管理菜单
角色管理列表
新增用户
权限分配
现在,我们根据数据库生成实体类。实体类的设计一般跟数据库的字段相差不大,可以用相关的ORM帮你生成
我们再看看BLL层
我这里是用户-角色的代码,其它的只要根据数据库存储过程就可以看出对应的方法是什么的
至于在前端权限的验证,我采取了一个算是比较折中的办法,我是通过获取当前页面的标题与数据库中的模块名称进行对比,从面判断用户是否有相应的操作权限。如下代码:
/// <summary>
/// 验证操作权限
/// </summary>
protected void ValiateMemberRights()
{
//FunctionID 1浏览 2增加 3修改 4删除 5查询 6导入 7 导出 8 详细
string pageTitle = this.Page.Title.ToString();
ABC.BLL.Sys.Module bllModule = new ABC.BLL.Sys.Module();
int moduleID = bllModule.GetModuleIDByPageTitle(pageTitle);
int memberID= Convert.ToInt32(ABC.Common.Encrypt.Decode(Session["memberID"].ToString()));
ABC.BLL.Sys.Member bllMember = new ABC.BLL.Sys.Member();
if (bllMember.ValidateRight(memberID, moduleID, 1) == false)
{
ABC.Common.JS.CloseWindow();
}
}
有网友建议不要采用这样的模式,不要将菜单与权限集合在一起,也确实有一定的道理。
做到最后,其实最主要的还是UI前端的展现形式。这里也有一些小知识点
1.Gridview中绑定checkboxlist并调用数据库中的数据
2.用javascript实现listbox的相互选取还是用ListItem进行操作
3.针对无限分级的功能模块列表如何展现才能实现最好的用户操作
针对第一个,我花了些许时间去考虑一下,虽然效果是做出来了,但不建议大家采用.如果数据量大的话,可能会造成打开页面较慢的情况。
针对第二个,其实还是使用客户端javascript好一点。当然,如果你的服务器足够强大的话,用ListItem也是不错的
针对第三个,我一直在寻找像gridview中包含treeview的控件,网上确实有很多,但实在不够灵活.不过应该可以通过jquery去实现.
一点总结,多多指教.
最近在一个项目中设计的一个用户权限的设计,很乐意与大家一起讨论及分享.
设计思路
我的设计思路或者说是我想要实现的功能
1.用户的权限通过角色来控制,一个用户可以拥有多个角色.
2.用户拥有不同角色时,其权限应该是多个角色相互的补集.
3.一个角色拥有多个模块
4.用户的前台菜单显示根据角色所拥有的模块所决定,不同的用户在前端显示的操作菜单是不一样的。
5.页面中的功能按钮根据模块中所包含的功能所定义,通过模块及角色所拥有的权限进行控制
6.可看某个模块有哪些用户,哪些对应角色,并对其进行特殊权限设置.
7.可以针对单个用户进行特殊设置
我在我的Project中,基本上达到了以上的效果及功能,但在实际过程中发现有些不足之处。因为整个权限设计是基于数据库来设计中,所以数据的读取当数据量大时(我所说的数据量是以万以上来计)可能对性能有一定的影响。但对于一般来说,几千用户之类的我想还是可以承受的。我会在后面说明不足之处。
数据库设计
基本设计:
1.首先,设计数据库.
数据库的设计其实我估计大家都很熟悉了
基本表:用户表,角色表,模块表,功能表,管理员表.如果涉及到企业性质的,可能会根据需要加上组织结构表,群组表等其它辅助表
用户
管理员
角色
模块
(我的模块表考虑了子模块的因素,所以会有深度,父模块ID这两个字段,在后来开发过中,由于思路的转变,IsRootModule,FunctionCode我都没有用到,为了让整个权限系统通变得更通用,我都将其单独设计成了另一个表)
功能表(功能表就是模块对应的功能:增加,删除,修改,详细,列表,浏览,导出,导入之类的)
业务表:用户-角色表 模块-功能表 角色-模块表
要实现一个用户多个角色(1 to n),一个角色多个模块(1 to n),一个模块多个功能(1 to n),那就得加上几个相关的业务表,之前考虑用视图去实现,我个人之见,视图最好只用来读取数据,不要用来进行数据操作.后来证明是不可取的,这里要注意的就是在实际的业务操作中,应该尽量避免重复的数据录入. 这些表都很简单,但却很关键
用户-角色:
角色-模块:
模块-功能:
大家可以看到,表结构很简单,字段也很少,设计也差不多。都是将相关联的字段ID取出来做数据存取。
视图:用户-角色-模块-功能视图
可能大家会觉得很奇怪,为什么这里出现member_role呢。因为我们在数据表中只存取了ID值,而对应的RoleName字段并没有包含其中,这里的视图就是获取关联表中其他所需要的字段数据了。另外两个视图大家看名字应该就知道他的用处了。
存储过程:各自表的增加,删除,修改,及列表数据. 判断是否存在相同的数据
(CUDLIS-Create, Update,Delete,IfExist,Show,List)
存储过程我就不一一列出了,很简单的,你只要写出下面这些基本上你在开发过程就不会有太多问题了. 注意的是:在相互关联的业务表中,最好能对数据插入进行重复数据判断(用户角色表,模块功能表,角色模块表,尽量避免重复的数据插入)我把大致需要实现的业务列个表给大家参考:
用户表:(Insert ,Update ,IfExist ,Show, Delete)
用户角色表:(Insert ,Update,IfExist,Delete,RoleListByUserID,UserListByRoleID)
角色表:(Insert,Update,IfExist,Show,Delete)
角色模块表:(Insert,IfExist,Delete,Show,RoleListByModuleID,ModulistByRoleID)
模块表:(Insert,Update,IfExist,Show,Dlete,ListByRootModuleID,ListByModuleLevel)
模块功能表:(Insert,Update,Delete,FunctionListByModuleID)
针对用户直接获取其所有的权限时,应该有个单独的Procedure从视图中Member_Role_Module_Function中获取其对应的数据,这样就可以得到想要的东西了。
数据库设计部分应该就这样差不多了。我想这应该是通用的。在实际运用过程中,我个人认为应该有一些改进点:
1.模块与功能部分,可以用字符串的形式将模块对应的功能存在一个数据字段中,这样可能在你的代码编写中可以省下较多的时间并带来更多的便利(主要是可以用split()来代替频繁的数据获取业务)这个我在最初设计中没有想到这点,有点失策.
2.针对N级模块的权限展现问题,如何让父模块继承子模块的权限这个是我没有考虑到的,不过我想应该可以用IsRootModule这个字段来作文章,可惜我还没想到如何去整这个字段。当子模块很多时,在前端UI展示的时候是否会出现很慢的情况?这个我没有去做测试。带有一定的风险
但在前端UI展示我还没想到或实现好的办法,我能想到的应该是像GridViewTree那种不错。
这个权限设计已经在我的Project中运用,暂时没有发现什么问题,而且为我以后对其它系统集成也很有帮助。至于如何在C#中实现业务,个人认为只要知道数据库如何整的,那C#中的业务实现只是一个取数操作过程。下篇与大家再共同分享讨论.
上篇讲完了数据库的设计,这次我们讲讲在Net中的实现
UI的实现,主要是方便用户操作,考虑用户体验,这个没有什么好说的
后台管理菜单
角色管理列表
新增用户
权限分配
现在,我们根据数据库生成实体类。实体类的设计一般跟数据库的字段相差不大,可以用相关的ORM帮你生成
我们再看看BLL层
我这里是用户-角色的代码,其它的只要根据数据库存储过程就可以看出对应的方法是什么的
程序代码
/// <summary>
/// UserRole业务逻辑层
/// </summary>
public class MemberRole:ABC.IDAL.Sys.IMemberRole
{
private static readonly ABC.IDAL.Sys.IMemberRole dal = ABC.DALFactory.DataAccess.CreateMemberRole();
/// <summary>
/// 增加
/// </summary>
/// <param name="Model">Model</param>
/// <returns>bool</returns>
public bool Insert(ABC.Entity.Sys.MemberRoleInfo Model)
{
return dal.Insert(Model);
}
/// <summary>
/// 修改
/// </summary>
/// <param name="Model">Model</param>
/// <returns>bool</returns>
public bool Update(ABC.Entity.Sys.MemberRoleInfo Model)
{
return dal.Update(Model);
}
/// <summary>
/// 删除
/// </summary>
/// <param name="memberRoleID"></param>
/// <returns>bool</returns>
public bool Delete(int memberRoleID)
{
return dal.Delete(memberRoleID);
}
/// <summary>
/// 根据用户ID删除角色
/// </summary>
/// <param name="memberID"></param>
/// <returns></returns>
public bool DeleteByMemberID(int memberID)
{
return dal.DeleteByMemberID(memberID);
}
/// <summary>
/// 判断是否存在同样用户-角色
/// </summary>
/// <param name="memberID"></param>
/// <param name="roleID"></param>
/// <returns></returns>
public bool IfExist(int memberID, int roleID)
{
return dal.IfExist(memberID, roleID);
}
/// <summary>
/// 根据用户ID显示用户角色
/// </summary>
/// <param name="memberID">memberID</param>
/// <param name="pageIndex">pageIndex</param>
/// <param name="pageSize">pageSize</param>
/// <returns>IList<ABC.Entity.Sys.MemberRoleInfo></returns>
public IList<ABC.Entity.Sys.MemberRoleInfo> List(int memberID,int pageSize,int pageIndex)
{
return dal.List(memberID, pageSize, pageIndex);
}
/// <summary>
/// 根据角色ID获取member列表
/// </summary>
/// <param name="roleID"></param>
/// <param name="pageSize"></param>
/// <param name="pageIndex"></param>
/// <returns></returns>
public IList<ABC.Entity.Sys.MemberRoleInfo> ListByRole(int roleID, int pageSize, int pageIndex)
{
return dal.ListByRole(roleID, pageSize, pageIndex);
}
/// <summary>
/// 根据memberID计算用户的角色
/// </summary>
/// <param name="memberID">memberID</param>
/// <returns>Sum of Roles by MemberID</returns>
public int Count(int memberID)
{
return dal.Count(memberID);
}
/// <summary>
/// 根据角色计算member数量
/// </summary>
/// <param name="roleID"></param>
/// <returns></returns>
public int CountByRoleID(int roleID)
{
return dal.CountByRoleID(roleID);
}
/// UserRole业务逻辑层
/// </summary>
public class MemberRole:ABC.IDAL.Sys.IMemberRole
{
private static readonly ABC.IDAL.Sys.IMemberRole dal = ABC.DALFactory.DataAccess.CreateMemberRole();
/// <summary>
/// 增加
/// </summary>
/// <param name="Model">Model</param>
/// <returns>bool</returns>
public bool Insert(ABC.Entity.Sys.MemberRoleInfo Model)
{
return dal.Insert(Model);
}
/// <summary>
/// 修改
/// </summary>
/// <param name="Model">Model</param>
/// <returns>bool</returns>
public bool Update(ABC.Entity.Sys.MemberRoleInfo Model)
{
return dal.Update(Model);
}
/// <summary>
/// 删除
/// </summary>
/// <param name="memberRoleID"></param>
/// <returns>bool</returns>
public bool Delete(int memberRoleID)
{
return dal.Delete(memberRoleID);
}
/// <summary>
/// 根据用户ID删除角色
/// </summary>
/// <param name="memberID"></param>
/// <returns></returns>
public bool DeleteByMemberID(int memberID)
{
return dal.DeleteByMemberID(memberID);
}
/// <summary>
/// 判断是否存在同样用户-角色
/// </summary>
/// <param name="memberID"></param>
/// <param name="roleID"></param>
/// <returns></returns>
public bool IfExist(int memberID, int roleID)
{
return dal.IfExist(memberID, roleID);
}
/// <summary>
/// 根据用户ID显示用户角色
/// </summary>
/// <param name="memberID">memberID</param>
/// <param name="pageIndex">pageIndex</param>
/// <param name="pageSize">pageSize</param>
/// <returns>IList<ABC.Entity.Sys.MemberRoleInfo></returns>
public IList<ABC.Entity.Sys.MemberRoleInfo> List(int memberID,int pageSize,int pageIndex)
{
return dal.List(memberID, pageSize, pageIndex);
}
/// <summary>
/// 根据角色ID获取member列表
/// </summary>
/// <param name="roleID"></param>
/// <param name="pageSize"></param>
/// <param name="pageIndex"></param>
/// <returns></returns>
public IList<ABC.Entity.Sys.MemberRoleInfo> ListByRole(int roleID, int pageSize, int pageIndex)
{
return dal.ListByRole(roleID, pageSize, pageIndex);
}
/// <summary>
/// 根据memberID计算用户的角色
/// </summary>
/// <param name="memberID">memberID</param>
/// <returns>Sum of Roles by MemberID</returns>
public int Count(int memberID)
{
return dal.Count(memberID);
}
/// <summary>
/// 根据角色计算member数量
/// </summary>
/// <param name="roleID"></param>
/// <returns></returns>
public int CountByRoleID(int roleID)
{
return dal.CountByRoleID(roleID);
}
至于在前端权限的验证,我采取了一个算是比较折中的办法,我是通过获取当前页面的标题与数据库中的模块名称进行对比,从面判断用户是否有相应的操作权限。如下代码:
程序代码
/// <summary>
/// 验证操作权限
/// </summary>
protected void ValiateMemberRights()
{
//FunctionID 1浏览 2增加 3修改 4删除 5查询 6导入 7 导出 8 详细
string pageTitle = this.Page.Title.ToString();
ABC.BLL.Sys.Module bllModule = new ABC.BLL.Sys.Module();
int moduleID = bllModule.GetModuleIDByPageTitle(pageTitle);
int memberID= Convert.ToInt32(ABC.Common.Encrypt.Decode(Session["memberID"].ToString()));
ABC.BLL.Sys.Member bllMember = new ABC.BLL.Sys.Member();
if (bllMember.ValidateRight(memberID, moduleID, 1) == false)
{
ABC.Common.JS.CloseWindow();
}
}
有网友建议不要采用这样的模式,不要将菜单与权限集合在一起,也确实有一定的道理。
做到最后,其实最主要的还是UI前端的展现形式。这里也有一些小知识点
1.Gridview中绑定checkboxlist并调用数据库中的数据
2.用javascript实现listbox的相互选取还是用ListItem进行操作
3.针对无限分级的功能模块列表如何展现才能实现最好的用户操作
针对第一个,我花了些许时间去考虑一下,虽然效果是做出来了,但不建议大家采用.如果数据量大的话,可能会造成打开页面较慢的情况。
针对第二个,其实还是使用客户端javascript好一点。当然,如果你的服务器足够强大的话,用ListItem也是不错的
针对第三个,我一直在寻找像gridview中包含treeview的控件,网上确实有很多,但实在不够灵活.不过应该可以通过jquery去实现.
一点总结,多多指教.