RBAC权限设计及其实现方法

一、是鉴权管理&＃xff0c;

即权限判断逻辑。

• 1. 最基本的权限管理就是菜单管理&＃xff0c;用户没有权限的功能模块在菜单节点上是不显示的。&＃xff08;很多人以为这就是权限管理&＃xff01;&＃xff09;

示例&＃xff1a;

普通业务人员登录系统后&＃xff0c;是看不到【用户管理】菜单的。

• 2. 功能权限管理&＃xff0c;B/S系统的功能体现为URL&＃xff0c;所以功能权限管理主要是针对URL访问的管理。&＃xff08;很多人都不清楚权限管理的对象是什么&＃xff1f;&＃xff09;

示例&＃xff1a;

 经过授权&＃xff0c;部门经理可以查看【用户管理】菜单&＃xff0c;并查看部门用户信息&＃xff0c;但权限设计要求&＃xff0c;该部门经理没有添加用户的权限。

所以在访问【添加用户】的功能&＃xff08;URL&＃xff09;时&＃xff0c;应该有没有授权的提示信息。

同时在【用户管理】页面上&＃xff0c;【添加用户】的按钮应该灰色显示&＃xff0c;不能点击。

• 3. 行级权限管理

示例&＃xff1a;

论坛管理员&＃xff0c;权限设计要求 A能管理论坛 【新闻版块】&＃xff0c;不能管理论坛 【技术交流】

此时的权限设计就应该根据论坛的相应ID来判断权限信息。

• 4. 列级权限管理

示例&＃xff1a;

业务权限设计要求&＃xff0c;除销售人员以外&＃xff0c;其他用户不能看到客户的联系方式信息。

此时的权限设计要判断相应的字段&＃xff08;列&＃xff09;是否可以显示。

• 5. 组织机构/部门级数据权限管理

示例:

业务权限设计要求&＃xff0c;销售一部的人员只能看到本部门的销售订单&＃xff0c;销售二部的人员只能看到本部门的销售订单&＃xff0c;但销售经理可以同时看到

销售一部和销售二部的销售订单。

此时的权限设计就要根据销售订单数据本身的部门属性来做判断

• 6. 范围型业务数据权限管理

示例&＃xff1a;

大卖场销售人员在下销售订单时&＃xff0c;要选择相应的产品所在仓库信息。

业务权限设计要求&＃xff0c;【国美】的销售人员在选择仓库的下拉列表中不能看到【广州仓库】&＃xff0c;而【大中电器】的销售人员在选择仓库的下拉列表中不能看到【北京顺义仓库】

二、授权管理

即权限分配过程。以上的权限管理内容都要通过系统的授权功能来分配给具体的用户&＃xff0c;授权功能应该足够灵活。

1. 直接对用户授权&＃xff0c;直接分配到用户的权限具有最优先级别。
2. 对用户所属岗位授权&＃xff0c;用户所属岗位信息可以看作是一个分组&＃xff0c;和角色的作用一样&＃xff0c;但是每个用户只能关联一个岗位信息。
3. 对用户所属角色授权&＃xff0c;用户所属角色信息可以看作是一个权限分组&＃xff0c;每个用户可以关联多个角色。
4. 角色直接关联具体的功能权限&＃xff08;URL&＃xff09;&＃xff0c;也可以关联负权限&＃xff0c;即此角色关联的权限不能使用负权限功能。负权限具有优先级别。
5. 分级授权&＃xff0c;系统管理员可以将自己拥有的权限信息授权给其他用户。即可以设置分级管理员和超级管理员。