通用权限管理设计篇(一)
一.引言
因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的
思考一下权限系统的设计。
权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以
满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义
的。
二.设计目标
设计一个灵活、通用、方便的权限管理系统。
在这个系统中,我们需要对系统的所有资源进行权限控制,那么系统中的资源包括哪些呢?我们可以把这些
资源简单概括为静态资源(功能操作、数据列)和动态资源(数据),也分别称为对象资源和数据资源,后者是
我们在系统设计与实现中的叫法。
系统的目标就是对应用系统的所有对象资源和数据资源进行权限控制,比如应用系统的功能菜单、各个界面的按
钮、数据显示的列以及各种行级数据进行权限的操控。
三.相关对象及其关系
大概理清了一下权限系统的相关概念,如下所示:
1. 权限
系统的所有权限信息。权限具有上下级关系,是一个树状的结构。下面来看一个例子
系统管理
用户管理
查看用户
新增用户
修改用户
删除用户
对于上面的每个权限,又存在两种情况,一个是只是可访问,另一种是可授权,例如对于“查看用户”这个权
限,如果用户只被授予“可访问”,那么他就不能将他所具有的这个权限分配给其他人。
2. 用户
应用系统的具体操作者,用户可以自己拥有权限信息,可以归属于0~n 个角色,可属于0~n 个组。他的权限集
是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系
都是n 对n 的关系。
3. 角色
为了对许多拥有相似权限的用户进行分类管理,定义了角色的概念,例如系统管理员、管理员、用户、访客等角
色。角色具有上下级关系,可以形成树状视图,父级角色的权限是自身及它的所有子角色的权限的综合。父级角
色的用户、父级角色的组同理可推。
4. 组
为了更好地管理用户,对用户进行分组归类,简称为用户分组。组也具有上下级关系,可以形成树状视图。在实
际情况中,我们知道,组也可以具有自己的角色信息、权限信息。这让我想到我们的QQ 用户群,一个群可以有
多个用户,一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ 群也可以具有自己
的角色信息,例如普通群、高级群等。
针对上面提出的四种类型的对象,让我们通过图来看看他们之间的关系。
有上图中可以看出,这四者的关系很复杂,而实际的情况比这个图还要复杂,权限、角色、组都具有上下级关
系,权限管理是应用系统中比较棘手的问题,要设计一个通用的权限管理系统,工作量也着实不小。
当然对于有些项目,权限问题并不是那么复杂。有的只需要牵涉到权限和用户两种类型的对象,只需要给用户分
配权限即可。
在另一些情况中,引入了角色对象,例如基于角色的权限系统, 只需要给角色分配权限,用户都隶属于角色,
不需要单独为用户分配角色信息。
通用权限管理设计篇(二)——数据库设计
国庆前整的通用权限设计的数据库初步设计部分,现在贴上来。
理清了对象关系之后,让我们接着来进行数据库的设计。在数据库建模时,对于N 对N 的
关系,一般需要加入一个关联表来表示关联的两者的关系。初步估计一下,本系统至少需要十张表,分别为:权
限表、用户表、角色表、组表、用户权限关联表、用
户角色关联表、角色权限关联表、组权限关联表、组角色关联表、用户属组关联表。当然还可能引出一些相关的
表。下面让我们在PowerDesigner 中画出各表吧。
各表及其关系如下:
1. 用户表
用户表(TUser)
字段名称 字段 类型 备注
记录标识 tu_id bigint pk, not null
所属组织 to_id bigint fk, not null
登录帐号 login_name varchar(64) not null
用户密码 password varchar(64) not null
用户姓名 vsername varchar(64) not null
手机号 mobile varchar(20)
电子邮箱 email varchar(64)
创建时间 gen_time datetime not null
登录时间 login_time datetime
上次登录时间 last_login_time datetime
登录次数 count bigint not null
2. 角色表
角色表(TRole)
字段名称 字段 类型 备注
角色ID tr_id bigint pk, not null
父级角色ID parent_tr_id bigint not null
角色名称 role_name varchar(64) not null
创建时间 gen_time datetime not null
角色描述 description varchar(200)
3. 权限表
权限表(TRight)
字段名称 字段 类型 备注
权限ID tr_id bigint pk, not null
父权限 parent_tr_id bigint not null
权限名称 right_name varchar(64) not null
权限描述 description varchar(200)
4. 组表
组表(TGroup)
字段名称 字段 类型 备注
组ID tg_id bigint pk, not null
组名称 group_name varchar(64) not null
父组 parent_tg_id bigint not null
创建时间 gen_time datetime not null
组描述 description varchar(200)
5. 角色权限表
角色权限表(TRoleRightRelation)
字段名称 字段 类型 备注
记录标识 trr_id bigint pk, not null
角色 Role_id bigint fk, not null
权限 right_id bigint fk, not null
权限类型 right_type int not null(0:可访问,1:可授
权)
6. 组权限表
组权限表(TGroupRightRelation)
字段名称 字段 类型 备注
记录标识 tgr_id bigint pk, not null
组 tg_id bigint fk, not null
权限 tr_id bigint fk, not null
权限类型 right_type int not null(0:可访问,1:可授
权)
7. 组角色表
组角色表(TGroupRoleRelation)
字段名称 字段 类型 备注
记录标识 tgr_id bigint pk, not null
组 tg_id bigint fk, not null
角色 tr_id bigint pk, not null
8. 用户权限表
用户权限表(TUserRightRelation)
字段名称 字段 类型 备注
记录标识 tur_id bigint pk, not null
用户 tu_id bigint fk, not null
权限 tr_id bigint fk, not null
权限类型 right_type int not null(0:可访问,1:可授
权)
9. 用户角色表
用户角色表(TUserRoleRelation)
字段名称 字段 类型 备注
记录标识 tur_id bigint pk, not null
用户 tu_id bigint fk, not null
角色 tr_id bigint fk, not null
10. 用户组表
用户组表(TUserGroupRelation)
字段名称 字段 类型 备注
记录标识 tug_id bigint pk, not null
用户 tu_id bigint fk, not null
组 tg_id bigint fk, not null
11. 组织表
组织表(TOrganization)
字段名称 字段 类型 备注
组织id to_id bigint pk, not null
父组 parent_to_id bigint not null
组织名称 org_name varchar(64) not null
创建时间 gen_time datetime not null
组织描述 description varchar(200)
12. 操作日志表
操作日志表(TLog)
字段名称 字段 类型 备注
日志ID log_id bigint pk, not null
操作类型 op_type int not null
操作内容 content varchar(200) not null
操作人 tu_id bigint fk, not null
操作时间 gen_time datetime not null
通用权限管理系统设计篇(三)——概要设计说明书
在前两篇文章中,不少朋友对我的设计提出了异议,认为过于复杂,当然在实际的各种系统的权限管理模块中,
并不像这里设计得那么复杂,我以前所做的系统中,
由只有用户和权限的,有只有用户、权限和角色的,还有一个系统用到了用户、权限、角色、组概念,这个系统
是我在思考以前所做系统的权限管理部分中找到的一
些共性而想到的一个设计方案,当然还会有不少设计不到位的地方,在设计开发过程中会慢慢改进,这个系统权
当学习只用,各位朋友的好的建议我都会考虑到设计
