(权限控制系统总体设计演示文稿.ppt

January 19, 2003 Name of your presentation here HP_presentation_template 成均科技通用权限控制系统总体设计演示文稿 EI/ERP的功能权限控制和数据权限控制 本系统采用RBAC1(Role Based Access Control)和ACL(Access Control List)的思想综合考虑和设计 ----Tangkf(otom31@163.com) 通用权限控制系统架构 功能权限控制结构图 功能权限控制模块 功能结点树管理 未注册功能默认状态管理 功能结点与角色关系管理 功能结点与用户关系管理 角色与用户关系管理 用户功能权限效验 权限类别管理 角色管理 用户管理 功能结点树管理 树结构的功能结点的集合体 可以实现增加删除和修改 每个功能结点有唯一编码 对用户授权时,会将用户，功能点与用户对该功能点的权限类别关联。 比如:老师A ? 新建年级(功能结点) ? 有权限 未注册功能默认状态管理 功能点在系统中没有被注册 对于没有注册的功能结点,系统可以设置一种默认的权限状态,比如: 默认设置_1: [有权限(可操作),无权限(只可见/不可见)] 功能点在不在用户权限表中 默认设置_2: [有权限(可操作),无权限(只可见/不可见)] 1-首先判断结点是否在用户的授权列表中,如果存在:返回实际 2-如果不在,在注册功能结点表中查找,如果存在:返回 默认 2 3-如果不在:返回 默认 1 功能结点与用户关系管理 用户与功能的关系是多对多 用户与功能的关系能表达清楚用户对该功能点具有何种权限 用户对功能的权限只存在一种 角色对功能结点的关系与用户对功能的关系类似 功能结点与角色关系管理 注: 目前不实现角色的继承,因为角色一旦继承,在权限效验上就会增加很大的复杂度,严重影响系统性能. 功能与数据权限结合的细节 用户授权功能表中如果不包含数据规则那么默认所有数据规则 如果用户某个数据规则中有互相排斥的权限,那么以最大许可为标准 用户与权限的关系可以对应多条数据规则 用户与角色的关系 角色无继承关系(目前只实现RBAC1标准) 用户可以属于多个角色 一个角色可以包含多个用户 用户功能权限效验 获取用户功能权限表 效验用户对功能结点的权限 权限类别管理 功能权限类型（单选） 有权限(可操作) 无权限(只可见/不可见) 数据权限类型（多选） [读-写-删除-修改-打印-全部] ※这部分可考虑统一作为编码管理 角色管理 角色信息的管理 角色信息的增加删除修改 角色信息操作的外部事件 角色与用户的关系管理 角色与功能结点的关系管理 用户管理 用户的增加删除修改 获取外部用户列表接口 应用系统中已经存在用户 提供获取用户列表接口 应用系统中不存在用户 ※考虑使用LDAP接口规范 数据权限控制结构图 数据权限控制模块 数据规则类别 引用系统数据资源获取 自定义数据规则管理 数据规则与用户关系 数据规则与角色关系 效验单个数据访问点权限 获取用户授权数据表 数据规则类别 数据规则模型 数据规则表是递归关系(树) 其中的类型ID对应分类表中的分类 自定义规则用于自定义的数据过滤条件 这些自定义规则最后都由应用系统来解释. 数据规则编码是一个重要效验条件 应用系统数据资源获取 通过统一的接口将外部的数据表等 需要受控制的数据对象动态抽取到权限系统中 并展现出来,服务于授权管理 自定义数据规则管理 用户录入的数据规则信息保存到数据库 这些数据规则信息可自定义数据效验规则 规则规范可自定义(遵循 谁提出谁解释的原则) 数据规则与用户关系 用户与数据规则是多对多关系 用户对这些数据规则可以拥有不同的权限 如果不勾选任何权限,那么用户与该数据规则将不产生关联 规则权限不具有继承关系,父亲规则授权不代表子规则授权,子规则授权也不代表父规则授权 数据规则与角色关系 角色与数据规则的关系类似于用户与规则的关系 角色之间不存在继承关系 如果要实现继承，那么将首要考虑性能问题. 效验单个数据访问点权限 效验单个数据访问权限时: 通过用户ID,访问方式,以及数据规则ID可以得到是否被许可访问. 获取用户授权数据规则表 通过用户ID,访问方式以及规则分类,数据类型 可以获取到该规则下的所有满足访问方式条件的数据规则表 数据权限效验细节考虑 权限是用二进制来描述的 有多少种权限就对应多少个二进制位 在数据库中采用5位 int 表示 多种权限就是对整型数相加,效验时按位与 面向各个系统的接口功能 面向应用系统应用的接口 面向应用系统数据资源的接口 面向用户及UI界面的接口 面向