权限控制系统总体设计演示文稿课件.ppt

1、page 12022年6月16日星期四 通用权限控制系统架构通用权限控制系统架构权限系统数据库面向数据库的接口数据权限控制模块功能权限控制模块面向用户的接口UI及其控制逻辑面向应用系统接口应用系统应用系统受控数据受控数据接口page 22022年6月16日星期四 功能权限控制结构图角色用户功能结点树可操作功能模块结点功能窗口结点功能按钮结点只可见不可见有权限无权限page 32022年6月16日星期四 功能权限控制模块u功能结点树管理u未注册功能默认状态管理u功能结点与角色关系管理u功能结点与用户关系管理u角色与用户关系管理u用户功能权限效验u权限类别管理u角色管理u用户管理page 4202

2、2年6月16日星期四 功能结点树管理u树结构的功能结点的集合体u可以实现增加删除和修改u每个功能结点有唯一编码u对用户授权时,会将用户，功能点与用户对该功能点的权限类别关联。比如:老师A 新建年级(功能结点) 有权限page 52022年6月16日星期四 未注册功能默认状态管理u功能点在系统中没有被注册功能点在系统中没有被注册对于没有注册的功能结点对于没有注册的功能结点,系统可以设置一种默认的系统可以设置一种默认的权限状态权限状态,比如比如:默认设置默认设置_1: 有权限( (可操作可操作) ),无权限( (只可见只可见/ /不可见不可见) )u功能点在不在用户权限表中功能点在不在用户权限表中

3、默认设置默认设置_2: 有权限( (可操作可操作) ),无权限( (只可见只可见/ /不可见不可见) )1-1-首先判断结点是否在用户的授权列表中首先判断结点是否在用户的授权列表中, ,如果存在如果存在: :返回实际返回实际2-2-如果不在如果不在, ,在注册功能结点表中查找在注册功能结点表中查找, ,如果存在如果存在: :返回返回 默认默认 2 23-3-如果不在如果不在: :返回返回 默认默认 1 1page 62022年6月16日星期四 功能结点与用户关系管理l用户与功能的关系是多对多用户与功能的关系是多对多l用户与功能的关系能表达清楚用户对该功能点具有何种用户与功能的关系能表达清楚用户

4、对该功能点具有何种权限权限l用户对功能的权限只存在一种用户对功能的权限只存在一种l角色对功能结点的关系与用户对功能的关系类似角色对功能结点的关系与用户对功能的关系类似用户1排课规划(功能1)新建年级(功能N)年级规划(功能2)只可见不可见可操作用户Npage 72022年6月16日星期四 功能结点与角色关系管理注:目前不实现角色的继承目前不实现角色的继承, ,因为角色一旦继承因为角色一旦继承, ,在权限效验在权限效验上就会增加很大的复杂度上就会增加很大的复杂度, ,严重影响系统性能严重影响系统性能. .角色1排课规划(功能1)新建年级(功能N)年级规划(功能2)只可见不可见可操作角色Npage

5、 82022年6月16日星期四 功能与数据权限结合的细节功能与数据权限结合的细节用户授权功能表中如果不包含数据规则那么默认所有数据规则如果用户某个数据规则中有互相排斥的权限,那么以最大许可为标准用户与权限的关系可以对应多条数据规则用户用户角色角色已授权功能已授权功能 1 1已授权功能已授权功能 N N数据规则数据规则1 1数据规则数据规则2 2数据规则数据规则3 3许可许可禁止禁止许可许可数据规则数据规则1 1数据规则数据规则2 2数据规则数据规则3 3许可许可禁止禁止许可许可page 92022年6月16日星期四 用户与角色的关系角色无继承关系角色无继承关系(目前只实现目前只实现RBAC1标

6、准标准)用户可以属于多个角色用户可以属于多个角色一个角色可以包含多个用户一个角色可以包含多个用户角色A权限用户1权限角色A用户1用户N最终权限用户1角色B角色B权限page 102022年6月16日星期四 u获取用户功能权限表u效验用户对功能结点的权限用户功能权限效验用户授权功能结点列表用户授权功能结点列表用户1应用系统应用系统实际功能实际功能结点列表结点列表已注册已注册功能功能结点列表结点列表用户授权用户授权功能功能结点列表结点列表用户1默认设置默认设置_1_1实际授权实际授权2 21 13 3默认设置默认设置_2_2page 112022年6月16日星期四 权限类别管理u功能权限类型（单选

7、）有权限( (可操作可操作) )无权限( (只可见只可见/ /不可见不可见) )u数据权限类型（多选）读-写-删除-修改-打印-全部这部分可考虑统一作为编码管理page 122022年6月16日星期四 角色管理u角色信息的管理角色信息的管理角色信息的增加删除修改角色信息操作的外部事件u角色与用户的关系管理角色与用户的关系管理u角色与功能结点的关系管理角色与功能结点的关系管理page 132022年6月16日星期四 用户管理u用户的增加删除修改用户的增加删除修改u获取外部用户列表接口获取外部用户列表接口应用系统中已经存在用户应用系统中已经存在用户u提供获取用户列表接口提供获取用户列表接口应用系统

8、中不存在用户应用系统中不存在用户考虑使用LDAP接口规范page 142022年6月16日星期四 数据权限控制结构图应用系统受控数据对象资源应用系统受控数据对象资源接口权限系统受控数据树权限系统受控数据树权限系统受控数据树类别 1类别 2类别 N角色用户读-写-删除-修改-打印-全部page 152022年6月16日星期四 数据权限控制模块数据权限控制模块u数据规则类别u引用系统数据资源获取u自定义数据规则管理u数据规则与用户关系u数据规则与角色关系u效验单个数据访问点权限u获取用户授权数据表page 162022年6月16日星期四 数据规则类别数据规则类别实现对数据规则树进行分类简化授权分类

9、难度结点类别可管理(增加/删除/修改)数据结点类型表类型I D类型编码类型名称备注varchar(20)varchar(20)varchar(60)varchar(255)page 172022年6月16日星期四 数据规则模型数据规则模型数据规则表是递归关系(树)其中的类型ID对应分类表中的分类自定义规则用于自定义的数据过滤条件这些自定义规则最后都由应用系统来解释.数据规则编码是一个重要效验条件FK_type_dataFK_data_pdata数据规则表数据规则I D父规则I D类型I D数据规则编码数据规则名称自定义规则备注varchar(20)varchar(20)varchar(20)v

10、archar(20)varchar(255)varchar(255)varchar(255)数据结点类型表类型I D类型编码类型名称备注varchar(20)varchar(20)varchar(60)varchar(255)page 182022年6月16日星期四 应用系统数据资源获取应用系统数据资源获取应用系统数据内部数据资源树接口接口UI展现通过统一的接口将外部的数据表等需要受控制的数据对象动态抽取到权限系统中并展现出来,服务于授权管理应用系统实现的接口应用系统实现的接口权限系统提供注入方法权限系统提供注入方法应用系统提供的应用系统提供的APIAPI授权page 192022年6月16日

11、星期四 自定义数据规则管理自定义数据规则管理数据规则树用户录入的数据规则信息用户录入的数据规则信息保存到数据库这些数据规则信息可自定义数据效验规则规则规范可自定义(遵循 谁提出谁解释的原则)UI展现授权page 202022年6月16日星期四 数据规则与用户关系数据规则与用户关系所在班级所在班级所在年级所在年级1,2,3,51,2,3,5班班读-写-删除-修改-打印-全部1 - 1 - 0 - 0 - 0 0 - 0 - 0 - - 0 - 0 0 - 00 - 0 - 0 - 0 - 0 0 - 0 - 0 - - 0 - 0 - 1 11 - 1 - 0 - 1 - 1 0 - 1 - 1

12、 - - 1 - 0 1 - 0用户1分类分类1 1分类分类2 2用户与数据规则是多对多关系用户对这些数据规则可以拥有不同的权限如果不勾选任何权限,那么用户与该数据规则将不产生关联规则权限不具有继承关系,父亲规则授权不代表子规则授权,子规则授权也不代表父规则授权用户2page 212022年6月16日星期四 数据规则与角色关系数据规则与角色关系所在年级所在年级所在班级所在班级1,2,5,61,2,5,6班班读-写-删除-修改-打印-全部1 - 1 - 0 - 0 - 0 0 - 0 - 0 - - 0 - 0 0 - 00 - 0 - 0 - 0 - 0 0 - 0 - 0 - - 0 - 0

13、 - 1 11 - 1 - 0 - 1 - 1 0 - 1 - 1 - - 1 - 0 1 - 0角色1分类分类1 1分类分类2 2角色2角色与数据规则的关系类似于用户与规则的关系角色之间不存在继承关系如果要实现继承，那么将首要考虑性能问题.page 222022年6月16日星期四 效验单个数据访问点权限效验单个数据访问点权限对应对应类型类型授权授权规则规则列表列表用户ID访问方式 读/写/删除数据ID规则类型待效验权限效验器效验单个数据访问权限时:通过用户ID,访问方式,以及数据规则ID可以得到是否被许可访问.实际实际无规则无规则默认默认page 232022年6月16日星期四 获取用户授权

14、数据规则表获取用户授权数据规则表用户ID访问方式 读/写/删除规则类型数据类型已知条件通过用户ID,访问方式以及规则分类,数据类型可以获取到该规则下的所有满足访问方式条件的数据规则表对应对应类型类型授权授权规则规则列表列表权限效验器实际实际无规则无规则默认默认page 242022年6月16日星期四 数据权限效验细节考虑数据权限效验细节考虑权限是用二进制来描述的有多少种权限就对应多少个二进制位在数据库中采用5位 int 表示多种权限就是对整型数相加,效验时按位与操作操作用户用户所在班级所在班级0001 0001 读读0010 0010 写写0100 0100 删除删除0111 0111 读读,

15、 ,写写, ,删除删除用户11,2,31,2,3班班规则解释器规则解释器page 252022年6月16日星期四 面向各个系统的接口功能u面向应用系统应用的接口面向应用系统应用的接口u面向应用系统数据资源的接口面向应用系统数据资源的接口u面向用户及面向用户及UI界面的接口界面的接口u面向数据层的接口面向数据层的接口page 262022年6月16日星期四 面向应用系统应用的接口面向应用系统应用的接口认证用户权限接口认证角色权限接口为用户授权的接口为角色授权的接口为角色设置用户的接口为用户分配角色的接口取消用户授权的接口取消角色授权的接口角色管理的接口(增加删除修改)page 272022年6月

16、16日星期四 面向应用系统数据资源的接口面向应用系统数据资源的接口提供应用系统数据资源管理接口(增加删除修改)提供数据资源刷新的接口数据资源类别管理接口(增加删除修改)数据资源对象模型数据规则管理接口(增加删除修改)page 282022年6月16日星期四 面向用户及面向用户及UIUI界面的接口界面的接口用户管理接口(增加删除修改)角色管理接口(增加删除修改)功能管理接口(展现功能结点)数据规则接口(增加删除修改)用户授权接口(数据授权和功能授权)角色授权接口(数据授权和功能授权)用户角色关系管理接口page 292022年6月16日星期四 面向数据层的接口最底层据具体使用的数据层而定其中包括对数据库实体表的相关管理操作对数据库有关系的表的的相关操作对数据库相关表的查询操作page 302022年6月16日星期四 感谢大家百忙之中抽出时间参加本次讨论!汤垲峰重庆成均科技Quote slide成均科技 LOGO谢谢 谢！谢！