美文网首页JavaJava Web知识Java 杂谈
用户-角色-资源 权限简单介绍

用户-角色-资源 权限简单介绍

作者: 路过的猪 | 来源:发表于2017-12-22 22:14 被阅读21次

    前言

    所谓权限,无非就是哪些用户允许干哪些事情,能够访问、操作哪些资源(web通常以url为粒度)。一般的后台管理(配置)系统都会做相应的权限控制(往往以用户-角色-资源为基础)。

    用户-角色-资源(user-role-resource)

    在实际业务中,某一类可以访问/操作的资源或者页面往往是对应某一类用户的。
    例如:一个教务管理系统,小明同学、小红同学等用户可以进去查成绩,看课程安排;而张老师、王老师等用户则可以进去录入、修改学生成绩;资源表内容如下:

    id description url
    1 获取成绩 /mark/get
    2 获取课程 /course/get
    3 录入成绩 /mark/add
    4 修改成绩 /mark/modify

    学生这一类用户允许访问id为1和2的资源;
    老师这一类用户允许访问id为3和4的资源;

    我们将拥有共同访问资源的某一类用户,统称为某个角色(role)或某个用户组(group),用户属于某个角色,而这个角色会有属于它可以访问的资源。

    如上面的小明同学属于学生这个角色,而学生这个角色有id为1、2的资源,即可以查成绩、获取课程等,但是没有老师这个角色的资源(录入和修改成绩等)。

    当有一个新的同学(user)录入时,系统则可以直接将该user设定为学生这个角色,即可拥有其对应的所有权限。

    数据库表设计

    用户和角色为多对多关系:一个角色是对应有多个用户的(学生-->小明、小红);另外,一个用户可能会有多个角色,例如小杰是一个在读研究生(学生),但是也会给大一的同学讲课(老师);

    角色和资源为多对多关系:一个角色是对应多个资源的(学生-->查看成绩、获取课程);另外,一个资源也是可以被多个角色访问的,例如修改个人信息,无论学生还是老师都可以拥有的。

    具体表结构设计如下:


    常规权限表结构

    实际拦截操作

    当用户登录之后,系统可以查询数据库,user-->role-->resource获取其可以访问/操作的资源。当该用户访问某个url时,例如/mark/modify ,web后台会设置一个专门的权限拦截器,比对判断该用户是否拥有该权限而做出相应处理。

    其他拓展

    1. 不同的业务可能会有不同的设计,例如目前很多管理系统往往一个用户只会对应一个角色,这样也满足了实际需求;而这时候角色和用户就是1对多的情况了。
    2. 另外也存在这样的业务需求:用户除了其对应角色的权限外,还希望为该用户有其额外/特殊的对应的可访问资源,这时候user和resource之间会建立起来一个类似role_resource的多对多关系。
    3. 对于角色(role),有时候会有父级的设计(多一个parent_id字段等),这时候表示子级的角色可以访问父级的资源,属于一个权限拓展的过程。比如美国大片中小士兵的id为1,而比他高一级的排长的parent_id则为1,这时候排长起码会有小士兵的权限;再上一级,连长的parent_id则是排长的id,一级一级下去。
    4. 还有一些的资源会细分到以某个函数为粒度的,这时候表设计仍然类似,具体拦截方法不一样而已。

    虽然拓展性有很多,但是不建议将权限关系弄得过于复杂,满足自身业务需求即可。

    相关文章

      网友评论

        本文标题:用户-角色-资源 权限简单介绍

        本文链接:https://www.haomeiwen.com/subject/ucaxgxtx.html