闲话权限系统的设计
1、权限的本质
权限管理,首先要理清权限的本质:权限就是对受保护资源的有限许可访问。
理解了权限的本质,就好谈权限的管理了。数据库
权限就是对受保护资源的有限许可访问--这句话包含两层含义:
1,受保护的资源
2,有限的许可访问网络
但,本质上谈的都是对资源的访问,因此探讨权限问题,首先要定义资源。架构
2、资源的概念
资源是一个抽象的概念,按照百科的词条解释,“资源”是指一国或必定地区内拥有的物力、财力、人力等各类物质要素的总称。分为天然资源和社会资源两大类。前者如阳光、空气、水、土地、森林、草原、动物、矿藏等;后者包括人力资源、信息资源以及通过劳动创造的各类物质财富等。
在计算机软件中,资源指的是软件使用过程当中使用的各类对象,功能,文件,网络等各类要素的总称。好比一个按钮所操做功能也算是一种资源;这样,菜单,按钮,页面等等,均可以算是资源。甚至,数据库的某个字段,也是资源。若是按照RESTFull API的思路去理解资源可能更好理解。微服务
2.1 资源的识别
资源多了,管理起来也有点麻烦,好比一个软件有不少按钮,要搞清楚这些按钮是比较困难的。把资源硬编码一个代号,对资源进行命名,对一类资源进行组织归类,这样复杂的系统就好管理了。编码
2.2 有限的资源
资源有不少,但并非全部资源都是咱们在当前领域须要关心的,咱们要从全部资源中,整理出那些是受保护的有限资源。
两个定语:受保护,有限。设计
公开的且无限的资源,不须要保护了(固然不是彻底不须要),好比阳光,好比之前的空气。可是,随着工业化的发展,空气也愈来愈须要保护了。
水资源,虽然说是公开的,可是它是有限的,因此须要严格保护。野生动物,森林,都是须要保护的,它们的数量都是有限的。
因为人类活动范围的持续增大,几乎地球上全部的资源都不够了,总有一天,阳光也会成为稀缺的资源。因此,资源老是给人一种有限的感受。代理
正由于资源是有限的特色,咱们不能随意而且大量的使用,因此须要对这些资源进行保护,要访问(使用)资源,须要受权。
因此,权限就是对受保护资源的有限许可访问对象
3、权限的概念
3.1 权限的分类
权限并非一个独立的东西,它不是主体,是客体,因此它必须依附于一个主体。因此,咱们经常根据权限所依附的主体来给权限分类:资源
- 按照受权方式区分的权限类型:部门权限,人员权限,角色权限。
- 按照软件层级区分:功能权限,业务权限,数据权限。
功能权限是指可访问的页面、菜单、按钮等,这些功能通常都在软件的“视图层”;
业务权限是指能够处理的一类业务,一般包含不少功能,好比一个功能,A业务能够修改,可是B业务只能查询;
数据权限是指哪些数据能够被什么对象访问。一般在数据库级别进行控制,好比:一样一个表,员工只能查询,经理能够修改。开发
3.2 权限的控制模型
权限,实质上分为权限的受体和权限的配体,权限的受体在资源对象上,而权限的配体是权限访问者持有的访问秘钥,能够用细胞分子来理解受体和配体。只有当受体和配体有效结合之后,才表明权限执行成功,被访问的资源的状态发生了改变。能够用锁来举例理解,要开锁必须有钥匙,钥匙是权限的“配体”,而锁是权限的受体。锁接受了钥匙成功进行了配对,打开了锁,因而人打开了门,进入了房间,那么房间这个资源的状态就改变了。
另外,权限还要区分拥有者和执行者,访问受保护资源的访问者,只要持有表明行使权限的访问秘钥,那么访问者就能够访问这个资源,也就说这个访问者有了访问这个资源的权限。
这里有三个关键词:访问者,资源,秘钥
访问者就是是权限的执行者,它能够是权限的拥有者,也能够是权限拥有者受权的代理人,就像公司的董事长和总经理的关系,董事长受权总经理经营管理公司,总经理表明董事长行使公司资产使用的权利。可是无论谁来行使访问权限,都要持有访问资源的秘钥,好比银行帐户的密码。其实这个过程,作过微服务权限控制,都能明白。
权限系统,跟国家的权力架构同样,也分为制定权限资源(立法),执行权限访问(司法),授予权限(行政)。组成权限系统的3个部分是相互分立,相互制约的。把权限系统的原理搞清楚了,那么设计权限系统的程序,就很简单了,可以作到完备且灵活。
3.3 权限的受权
权限系统里面最常出现的就是角色,这叫作角色受权,当系统权限多了,势必要对权限进行一个分组(分类),这就是角色。因此,角色,仅仅是一个权限集合而已,所以受权的时候按角色受权要方便些,。但实际上,也能够按部门受权,或者按我的受权,或者,3者交叉受权。因此,最终一个系统的权限管理,复杂就复杂在这个地方,而若是权限受权不清晰,也容易出现推诿,扯皮的事情。因此,管理者受权,是很考验管理智慧的地方。
总结
权限系统分为三大部分:
1,系统使用的资源(菜单,按钮,页面,数据等等有限的可操做可访问的对象);
2,权限的识别,对资源系统中找出那些是须要进行受保护访问的而不是公开可操做的资源,对这样的资源进行分组和命名;
3,权限的受权(按角色受权,按部门受权,按我的受权等);
以上内容是我多年开发使用各类管理系统,而且最近跟朋友讨论的一点畅想,一家之言,仅供参考。
个人博客即将搬运同步至腾讯云+社区,邀请你们一同入驻:https://cloud.tencent.com/developer/support-plan
- 1. 权限系统的设计
- 2. JEECMS 系统权限设计
- 3. 权限系统设计
- 4. 权限设计系统——RBAC
- 5. 权限系统设计-day01
- 6. 系统设计——权限系统
- 7. 大话权限设计
- 8. 权限设计-系统登录用户权限设计
- 9. 架构设计分享之权限系统(看图说话)
- 10. 权限系统设计概述
- 更多相关文章...
- • 移动设备 统计 - 浏览器信息
- • 操作系统(OS)平台 统计 - 浏览器信息
- • Docker容器实战(七) - 容器眼光下的文件系统
- • Docker容器实战(六) - 容器的隔离与限制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 权限系统的设计
- 2. JEECMS 系统权限设计
- 3. 权限系统设计
- 4. 权限设计系统——RBAC
- 5. 权限系统设计-day01
- 6. 系统设计——权限系统
- 7. 大话权限设计
- 8. 权限设计-系统登录用户权限设计
- 9. 架构设计分享之权限系统(看图说话)
- 10. 权限系统设计概述