RBAC角色权限表设计

用户·角色·权限·表jsp2010-05-1722:49:33阅读135评论0字号：大中小订阅一．引言因为做过的一些系统的权限管理的功能虽然在逐步完善，但总有些不尽人意的地方，总想抽个时间来更好的思考一下权限系统的设计。权限系统一直以来是我们应用系统不可缺少的一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系统是很有意义的。二．设计目标设计一个灵活、通用、方便的权限管理系统。在这个系统中，我们需要对系统的所有资源进行权限控制，那么系统中的资源包括哪些呢？我们可以把这些资源简单概括为静态资源（功能操作、数据列）和动态资源（数据），也分别称为对象资源和数据资源，后者是我们在系统设计与实现中的叫法。系统的目标就是对应用系统的所有对象资源和数据资源进行权限控制，比如应用系统的功能菜单、各个界面的按钮、数据显示的列以及各种行级数据进行权限的操控。三．相关对象及其关系大概理清了一下权限系统的相关概念，如下所示：1.权限系统的所有权限信息。权限具有上下级关系，是一个树状的结构。下面来看一个例子系统管理用户管理查看用户新增用户修改用户删除用户对于上面的每个权限，又存在两种情况，一个是只是可访问，另一种是可授权，例如对于“查看用户”这个权限，如果用户只被授予“可访问”，那么他就不能将他所具有的这个权限分配给其他人。2.用户应用系统的具体操作者，用户可以自己拥有权限信息，可以归属于0～n个角色，可属于0～n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系都是n对n的关系。3.角色为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系，可以形成树状视图，父级角色的权限是自身及它的所有子角色的权限的综合。父级角色的用户、父级角色的组同理可推。4.组为了更好地管理用户，对用户进行分组归类，简称为用户分组。组也具有上下级关系，可以形成树状视图。在实际情况中，我们知道，组也可以具有自己的角色信息、权限信息。这让我想到我们的QQ用户群，一个群可以有多个用户，一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ群也可以具有自己的角色信息，例如普通群、高级群等。针对上面提出的四种类型的对象，让我们通过图来看看他们之间的关系。有上图中可以看出，这四者的关系很复杂，而实际的情况比这个图还要复杂，权限、角色、组都具有上下级关系，权限管理是应用系统中比较棘手的问题，要设计一个通用的权限管理系统，工作量也着实不小。当然对于有些项目，权限问题并不是那么复杂。有的只需要牵涉到权限和用户两种类型的对象，只需要给用户分配权限即可。在另一些情况中，引入了角色对象，例如基于角色的权限系统，只需要给角色分配权限，用户都隶属于角色，不需要单独为用户分配角色信息。通用权限管理设计篇（二）——数据库设计国庆前整的通用权限设计的数据库初步设计部分，现在贴上来。理清了对象关系之后，让我们接着来进行数据库的设计。在数据库建模时，对于N对N的关系，一般需要加入一个关联表来表示关联的两者的关系。初步估计一下，本系统至少需要十张表，分别为：权限表、用户表、角色表、组表、用户权限关联表、用户角色关联表、角色权限关联表、组权限关联表、组角色关联表、用户属组关联表。当然还可能引出一些相关的表。下面让我们在PowerDesigner中画出各表吧。各表及其关系如下：1.用户表用户表（TUser）字段名称字段类型备注记录标识tu_idbigintpk,notnull所属组织to_idbigintfk,notnull登录帐号login_namevarchar(64)notnull用户密码passwordvarchar(64)notnull用户姓名vsernamevarchar(64)notnull手机号mobilevarchar(20)电子邮箱emailvarchar(64)创建时间gen_timedatetimenotnull登录时间login_timedatetime上次登录时间last_login_timedatetime登录次数countbigintnotnull2.角色表角色表（TRole）字段名称字段类型备注角色IDtr_idbigintpk,notnull父级角色IDparent_tr_idbigintnotnull角色名称role_namevarchar(64)notnull创建时间gen_timedatetimenotnull角色描述descriptionvarchar(200)3.权限表权限表（TRight）字段名称字段类型备注权限IDtr_idbigintpk,notnull父权限parent_tr_idbigintnotnull权限名称right_namevarchar(64)notnull权限描述descriptionvarchar(200)4.组表组表（TGroup）字段名称字段类型备注组IDtg_idbigintpk,notnull组名称group_namevarchar(64)notnull父组parent_tg_idbigintnotnull创建时间gen_timedatetimenotnull组描述descriptionvarchar(200)5.角色权限表角色权限表（TRoleRightRelation）字段名称字段类型备注记录标识trr_idbigintpk,notnull角色Role_idbigintfk,notnull权限right_idbigintfk,notnull权限类型right_typeintnotnull（0:可访问，1:可授权）6.组权限表组权限表（TGroupRightRelation）字段名称字段类型备注记录标识tgr_idbigintpk,notnull组tg_idbigintfk,notnull权限tr_idbigintfk,notnull权限类型right_typeintnotnull（0:可访问，1:可授权）7.组角色表组角色表（TGroupRoleRelation）字段名称字段类型备注记录标识tgr_idbigintpk,notnull组tg_idbigintfk,notnull角色tr_idbigintpk,notnull8.用户权限表用户权限表（TUserRightRelation）字段名称字段类型备注记录标识tur_idbigintpk,notnull用户tu_idbigintfk,notnull权限tr_idbigintfk,notnull权限类型right_typeintnotnull（0:可访问，1:可授权）9.用户角色表用户角色表（TUserRoleRelation）字段名称字段类型备注记录标识tur_idbigintpk,notnull用户tu_idbigintfk,notnull角色tr_idbigintfk,notnull10.用户组表用户组表（TUserGroupRelation）字段名称字段类型备注记录标识tug_idbigintpk,notnull用户tu_idbigintfk,notnull组tg_idbigintfk,notnull11.组织表组织表（TOrganization）字段名称字段类型备注组织idto_idbigintpk,notnull父组parent_to_idbigintnotnull组织名称org_namevarchar(64)notnull创建时间gen_timedatetimenotnull组织描述descriptionvarchar(200)12.操作日志表操作日志表（TLog）字段名称字段类型备注日志IDlog_idbigintpk,notnull操作类型op_typeintnotnull操作内容contentvarchar(200)notnull操作人tu_idbigintfk,notnull操作时间gen_timedatetimenotnull通用权限管理系统设计篇（三）——概要设计说明书在前两篇文章中，不少朋友对我的设计提出了异议，认为过于复杂，当然在实际的各种系统的权限管理模块中，并不像这里设计得那么复杂，我以前所做的系统中，由只有用户和权限的，有只有用户、权限和角色的，还有一个系统用到了用户、权限、角色、组概念，这个系统是我在思考以前所做系统的权限管理部分中找到的一些共性而想到的一个设计方案，当然还会有不少设计不到位的地方，在设计开发过程中会慢慢改进，这个系统权当学习只用，各位朋友的好的建议我都会考虑到设计中，感谢各位朋友的支持。今天抽时间整了一份概念设计出来，还有一些地方尚未考虑清楚，贴出1.0版，希望各位朋友提出宝贵建议。大家也可以点击此处《通用权限管理概要设计说明书》自行下载，这是1.0版本，有些地方可能还会进行部分修改，有兴趣的朋友请关注我的blog。1.引言1.1编写目的本文档对通用权限管理系统的总体设计、接口设计、界面总体设计、数据结构设计、系统出错处理设计以及系统安全数据进行了说明。1.2背景a、软件系统的名称：通用权限管理系统；b、任务提出者、开发者：谢星星；c、在J2EE的web系统中需要使用权限管理的系统。1.3术语本系统：通用权限管理系统；SSH：英文全称是SecureShell。1.4预期读者与阅读建议预期读者阅读重点开发人员总体设计、接口设计、数据结构设计、界面总体设计、系统出错处理设计设计人员总体设计、接口设计、数据结构设计、系统安全设计1.5参考资料《通用权限管理系统需求规格说明书》《通用权限管理系统数据库设计说明书》2.总体设计2.1设计目标权限系统一直以来是我们应用系统不可缺少的一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系统是很有意义的。本系统的设计目标是对应用系统的所有资源进行权限控制，比如应用系统的功能菜单、各个界面的按钮控件等进行权限的操控。2.2运行环境操作系统：Windows系统操作系统和Linux系列操作系统。2.3网络结构通用权限管理系统可采用JavaSwing实现，可以在桌面应用和Web应用系统中进行调用。如果需要要适应所有开发语言，可以将其API发布到WEBService上。暂时用JavaSwing实现。2.4总体设计思路和处理流程在说明总体设计思路前，我们先说明本系统的相关概念：1.权限资源系统的所有权限信息。权限具有上下级关系，是一个树状的结构。下面来看一个例子系统管理用户管理查看用户新增用户修改用户删除用户对于上面的每个权限，又存在两种情况，一个是只是可访问，另一种是可授权，例如对于“查看用户”这个权限，如果用户只被授予“可访问”，那么他就不能将他所具有的这个权限分配给其他人。2.用户应用系统的具体操作者，用户可以自己拥有权限信息，可以归属于0～n个角色，可属于0～n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角色、组之间的关系都是n对n的关系。3.角色为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系，可以形成树状视图，父级角色的权限是自身及它的所有子角色的权限的综合。父级角色的用户、父级角色的组同理可推。4.组为了更好地管理用户，对用户进行分组归类，简称为用户分组。组也具有上下级关系，可以形成树状视图。在实际情况中，我们知道，组也可以具有自己的角色信息、权限信息。这让我想到我们的QQ用户群，一个群可以有多个用户，一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ群也可以具有自己的角色信息，例如普通群、高级群等。针对如上提出的四种对象，我们可以整理得出它们之间的关系图，如下所示：总体设计思路是将系统分为组权限管理、角色权限管理、用户