2018年10月14日星期日
page 5
功能结点与用户关系管理
排课规划…(功能1) 用户1 用户N 年级规划…(功能2) 新建年级…(功能N) … 可 操 作 只 可 见 不 可 见
用户与功能的关系是多对多
用户与功能的关系能表达清楚用户对该功能点具有何种
权限 用户对功能的权限只存在一种 角色对功能结点的关系与用户对功能的关系类似
• • • •
数据规则表是递归关系(树) 其中的类型ID对应分类表中的分类 自定义规则用于自定义的数据过滤条件
这些自定义规则最后都由应用系统来解释.
数据规则编码是一个重要效验条件
page 17
2018年10月14日星期日
2018年10月14日星期日 page 6
功能结点与角色关系管理
角色1 排课规划…(功能1) 年级规划…(功能2) 可 操 作 只 可 见 不 可 见
角色N
新建年级…(功能N)
注: 目前不实现角色的继承,因为角色一旦继承,在权限效验 上就会增加很大的复杂度,严重影响系统性能.
…
2018年10月14日星期日
通用权限控制系统架构
UI及其控制逻辑
应 用 系 统 受 控 数 据
受 控 数 据 接 口
面向用户的接口
数据权限 控制模块 功能权限 控制模块
面向数据库的接口 权限系统数据库
面 向 应 用 系 统 接 口
应 用 系 统
2018年10月14日星期日
page 1
功能权限控制结构图
……
功能按钮结点 功能窗口结点 功能模块结点
可 操 作 有权限
只 可 见
不 可 见
功能结点树
无权限
角色
用户
2018年10月14日星期日
page 2
功能权限控制模块
功能结点树管理 未注册功能默认状态管理 功能结点与角色关系管理
功能结点与用户关系管理
角色与用户关系管理 用户功能权限效验 权限类别管理 角色管理 用户管理
2018年10月14日星期日
page 3
功能结点树管理
树结构的功能结点的集合体
可以实现增加删除和修改 每个功能结点有唯一编码
对用户授权时,会将用户，功能点与用户对该功能点的权
限类别关联。 比如:老师A 新建年级(功能结点) 有权限
2018年10月14日星期日
page 4
未注册功能默认状态管理
功能点在系统中没有被注册
对于没有注册的功能结点,系统可以设置一种默认的 权限状态,比如:
默认设置_1: [有权限(可操作),无权限(只可见/不可见)]
功能点在不在用户权限表中
默认设置_2: [有权限(可操作),无权限(只可见/不可见)] 1-首先判断结点是否在用户的授权列表中,如果存在:返回实际 2-如果不在,在注册功能结点表中查找,如果存在:返回 默认 2 3-如果不在:返回 默认 1
用户1
用户授权功能结点列表
效验用户对功能结点的权限 默认设置_1
用户1 默认设置_2
3
应用系统 实际功能 结点列表
2
已注册 功能 用户授权 结点列表 功能 结点列表
实际授权
1
2018年10月14日星期日
page 10
权限类别管理
功能权限类型（单选）
有权限(可操作) 无权限(只可见/不可见)
数据权限类型（多选）
…
page 8
2018年10月14日星期日
用户与角色的关系
用户1
角色A权限 用户1权限 角色B权限
最终 权限
用户1
角色B
角色A
用户N
• • •
角色无继承关系(目前只实现RBAC1标准) 用户可以属于多个角色 一个角色可以包含多个用户
page 9
…
2018年10月14日星期日
用户功能权14日星期日
用户
page 14
数据权限控制模块
数据规则类别
引用系统数据资源获取
自定义数据规则管理 数据规则与用户关系
数据规则与角色关系
效验单个数据访问点权限 获取用户授权数据表
2018年10月14日星期日
page 15
数据规则类别
数据结点类型表 类型I D 类型编码 类型名称 备注 var char ( 20) <pk> var char ( 20) var char ( 60) var char ( 255)
应用系统中已经存在用户
提供获取用户列表接口
应用系统中不存在用户 ※考虑使用LDAP接口规范
2018年10月14日星期日
page 13
数据权限控制结构图
应用系统受控数据对象资源 接口 类别 1 权限系统受控数据树 类别 2 权限系统受控数据树
……
类别 N 权限系统受控数据树
读-写-删除-修改-打印-全部
• • •
实现对数据规则树进行分类 简化授权分类难度 结点类别可管理(增加/删除/修改)
2018年10月14日星期日
page 16
数据规则模型
数据规则表 FK_data_pdata 数据规则I D 父规则I D 类型I D 数据规则编码 数据规则名称 自定义规则 备注 var char ( 20) <pk> var char ( 20) <f k2> var char ( 20) <f k1> var char ( 20) var char ( 255) var char ( 255) var char ( 255) 数据结点类型表 FK_type_data 类型I D 类型编码 类型名称 备注 var char ( 20) <pk> var char ( 20) var char ( 60) var char ( 255)
page 7
功能与数据权限结合的细节
数据规则1 数据规则2 数据规则3 … 数据规则1 数据规则2 数据规则3 … 许可 禁止 许可 … 许可 禁止 许可 …
已授权功能 1
用户 角色
已授权功能 N
•
•
•
用户授权功能表中如果不包含数据规则那么默认所有数据规则 如果用户某个数据规则中有互相排斥的权限,那么以最大许可为标准 用户与权限的关系可以对应多条数据规则
[读-写-删除-修改-打印-全部]
※这部分可考虑统一作为编码管理
2018年10月14日星期日
page 11
角色管理

角色信息的管理
角色信息的增加删除修改
角色信息操作的外部事件
角色与用户的关系管理
角色与功能结点的关系管理
2018年10月14日星期日
page 12
用户管理
用户的增加删除修改 获取外部用户列表接口