-
UID:12641
-
- 注册时间2013-11-16
- 最后登录2023-11-02
- 在线时间364小时
- 配偶单身
-
-
- 发帖682
- 搜Ta的帖子
- 精华0
- 铜币48325
- 威望621
- 贡献值20
- 银元28073
-
访问TA的空间加好友用道具
- 发帖
- 682
- 铜币
- 48325
- 威望
- 621
- 贡献值
- 20
- 银元
- 28073
|
�&|�Gg46P7 RBAC权限设计 �oM�bd1uus s����<YN*~ ,Jw��X*L<:
根据人员职级的不同所使用的系统功能不同,当人员使用相同功能时,根据组织机构的不同,看见的数据不同。按照不同的维度,进行权限的划分,而不同。 |5~Oh`w���
BN��9e S �
其一基于角色的访问权限控制(RBAC)模型,人员角色来赋值给用户的权限管理,可以分为两大类型:功能权限、数据权限。 e�K7A8\�;e
���T?1BcY
那么现在我们就先按照RBAC来看权限分配。 �_&-�d0'�+
~0�PzRS�^o
=Y�2� �Rht
一、背景 �v'hc-Q9+> _Raf��7�W� K#OL/2�^
5 �v2;E� W�p 在对应系统中每个用户所看见的界面功能和数据不可能都一样,而是根据人员的组织机构和职级不同进行相应的区分。
~�@'wqGTp Yi��Zk|K_� 举个例子: yj:�@Fg-3g k�Y]"3���a 部门经理可见可操作功能‘业务报表’,员工不可见。业务A部门经理在‘业务报表’中只能看见本部门业务A部门的数据。而总经理可在‘业务报表’中,可查看所有部门业务A、B、C、3个部门的数据。这时就需要进行对应的权限分配。 i@rt�t
M� H:DR?'y�W� �2y�`�h�'z 二、RBAC x#�0?$}f�< S^%3V�f��} _[��6sr7H! D6��Vd�gU| 经典模型RBAC模型是现在权限管理系统的基础,但包括不限于此。根据公司组织架构不同设计有所不同,或2B业务是设计的通用权限划分,RBAC模型可分为:RBAC_0、RBAC_1、RBAC_2、 RBAC_3共4个版本。其他3个模型都是基于RBAC_0演化的。 kkl�'D!z2g 0F)v9EK(W4 先简述下这4个RBAC模型: &�wQ;J)1�3 0
1m��u�6) RBAC_0模型: 权限——角色——用户。ERP系统:后台权限设计 1
uU$V
�=� 7!J-/#�!�� cO5F=ZxR� 图一 �+R*DE�5dz "1a;);S=*) RBAC_1模型:基于RBAC_0增加了子角色,子角色可继承父角色的所有权限。RBAC_2模型:基于RBAC_0增加了角色互斥,互斥的角色不可同时赋予一个用户账号。RBAC_3模型:结合了RBAC_0、RBAC_1、RBAC_2,目前为更全面更复杂的模型 \T��P$2i%W !�<];N0nt# 三 、使用场景 �gv�67�+Mf tD��.#*.7� 9n�AP�%MA` ("a@V8M`$F 基于RBAC来做的权限赋予角色再赋予用户。 k��K�75�(x ?'k_K:_��� Tt�: (l�/1 功能权限 g���
��*,O �&PC6C<<�f H�T��.,�BF
a>�v *��� 配置每个用户所见及所能操作的功能项不同。 :?xH)J,imk 0qN`-�0Y�k 当在主系统中存在不同子系统时,选定对应子系统将不同的功能项赋予到指定的角色上。 �](JrE�g$K �O\�
<zQ2m ��]
2
`%i5 图二 f/Y&)#g>k� 6:8s,a3&[k KYiJXE[Q�- 数据权限 E�D�nNS��� z�6`�0�Uv~ �&2W"4SE]6 �V?�EX`�2S 根据组织机构所属部门不同,用户使用相同功能时所能看见的展示数据是不一样的,因根据公司业务情况不同。 mu\1h�Kq;B �f-M:�ap(O 其一直接套用组织机构进行权限划分,缺点不可配置,无法根据实际业务跨部门查看数据。其二根据组织机构再次进行配置划分数据权限,缺点为每个组织机构都进行数据权限分配。 9��dN�B��_  U�`6�|�K$@ f#ZM�2!^!� 图三 T<*)C�did� 9�4�B%_��� sK�#)�k\w> 角色结合 *O[�/�K�R% yEWm.�;&3= c�0o]��O[� |^1g*f�y?� 在某个组织机构下选取的岗位角色,赋予对应的功能角色和数据角色。 ^SpQ�tW118 .))�g]�C�H 岗位角色=功能角色+数据角色 gX�I-{R7Me Ey7zb#/�<!  {Z��c8�,jm D9+q�T<ojN 图四 :�)�lS9<Y} 1hw.gn*JK> 配置账号 r�)gK��5Mv =2$�(�
tXL JU�)�^b
V_ ��icb)JZ1K 将不同的用户账号赋予不同的岗位权限,因我们在角色就是用的多角色构成关系,及岗位角色被赋予了多个功能权限与数据权限。因此,一个用户账号在此只需要对应一个岗位角色即可。 �|�Ah�f 01 z|Y�5�4�o3 s�)WA9Pi�C 图五 ,=+�t�2Bn� ^�iONC&��r 若无任何一权限进入系统后则应有“无权限”提示,对于企业级系统如ERP、OA主体为公司员工使用,而账号分配及权限分配都是有专人负责进行,并无开放注册功能。 CU|E��-XPW `t��/j6�e] 按照不同的维度进行权限的划分还可以对接人力资源管理系统,按照组织机构进行权限划分,也可在当前设置按钮中加入共享功能再特定人员(如:分部、部门、个人、角色),这时根据系统主体架构而定。 ]�n�jNSn�� C+'��-TLeu r|l?2 eO�~ 四、最后的话 �aL:|Dr3SX "6d0j)�Y�O 1%_R�X�QVG !H\;X`W|~D 看到这里相信只要产品同学对RBAC 4 个模型有了认知后,那么做一个简单的权限系统应该只是水到渠成,做一个简单的权限系统应该没问题。 3(o�MASf�� 
点赞支持
歌曲链接
|
