权限控制系统总体设计演示文稿

1、 2006 重庆成均科技有限公司成均科技通用权限控制系统成均科技通用权限控制系统总体设计演示文稿总体设计演示文稿EI/ERP的功能权限控制和数据权限控制本系统采用RBAC1(Role Based Access Control)和ACL(Access Control List)的思想综合考虑和设计-Tangkf()page 22022-5-8 通用权限控制系统架构通用权限控制系统架构权限系统数据库面向数据库的接口数据权限控制模块功能权限控制模块面向用户的接口UI及其控制逻辑面向应用系统接口应用系统应用系统受控数据受控数据接口page 32022-5-8 功能权限控制结构图角色用户功能结点树可操作

2、功能模块结点功能窗口结点功能按钮结点只可见不可见有权限无权限page 42022-5-8 功能权限控制模块u功能结点树管理u未注册功能默认状态管理u功能结点与角色关系管理u功能结点与用户关系管理u角色与用户关系管理u用户功能权限效验u权限类别管理u角色管理u用户管理page 52022-5-8 功能结点树管理u树结构的功能结点的集合体u可以实现增加删除和修改u每个功能结点有唯一编码u对用户授权时,会将用户，功能点与用户对该功能点的权限类别关联。比如:老师A 新建年级(功能结点) 有权限page 62022-5-8 未注册功能默认状态管理u功能点在系统中没有被注册功能点在系统中没有被注册对于没有

3、注册的功能结点对于没有注册的功能结点,系统可以设置一种默认的系统可以设置一种默认的权限状态权限状态,比如比如:默认设置默认设置_1: 有权限( (可操作可操作) ),无权限( (只可见只可见/ /不可见不可见) )u功能点在不在用户权限表中功能点在不在用户权限表中默认设置默认设置_2: 有权限( (可操作可操作) ),无权限( (只可见只可见/ /不可见不可见) )1-1-首先判断结点是否在用户的授权列表中首先判断结点是否在用户的授权列表中, ,如果存在如果存在: :返回实际返回实际2-2-如果不在如果不在, ,在注册功能结点表中查找在注册功能结点表中查找, ,如果存在如果存在: :返回返回

4、默认默认 2 23-3-如果不在如果不在: :返回返回 默认默认 1 1page 72022-5-8 功能结点与用户关系管理l用户与功能的关系是多对多用户与功能的关系是多对多l用户与功能的关系能表达清楚用户对该功能点具有何种用户与功能的关系能表达清楚用户对该功能点具有何种权限权限l用户对功能的权限只存在一种用户对功能的权限只存在一种l角色对功能结点的关系与用户对功能的关系类似角色对功能结点的关系与用户对功能的关系类似用户1排课规划(功能1)新建年级(功能N)年级规划(功能2)只可见不可见可操作用户Npage 82022-5-8 功能结点与角色关系管理注:目前不实现角色的继承目前不实现角色的继承

5、, ,因为角色一旦继承因为角色一旦继承, ,在权限效验在权限效验上就会增加很大的复杂度上就会增加很大的复杂度, ,严重影响系统性能严重影响系统性能. .角色1排课规划(功能1)新建年级(功能N)年级规划(功能2)只可见不可见可操作角色Npage 92022-5-8 功能与数据权限结合的细节功能与数据权限结合的细节用户授权功能表中如果不包含数据规则那么默认所有数据规则如果用户某个数据规则中有互相排斥的权限,那么以最大许可为标准用户与权限的关系可以对应多条数据规则用户用户角色角色已授权功能已授权功能 1 1已授权功能已授权功能 N N数据规则数据规则1 1数据规则数据规则2 2数据规则数据规则3

6、3许可许可禁止禁止许可许可数据规则数据规则1 1数据规则数据规则2 2数据规则数据规则3 3许可许可禁止禁止许可许可page 102022-5-8 用户与角色的关系角色无继承关系角色无继承关系(目前只实现目前只实现RBAC1标准标准)用户可以属于多个角色用户可以属于多个角色一个角色可以包含多个用户一个角色可以包含多个用户角色A权限用户1权限角色A用户1用户N最终权限用户1角色B角色B权限page 112022-5-8 u获取用户功能权限表u效验用户对功能结点的权限用户功能权限效验用户授权功能结点列表用户授权功能结点列表用户1应用系统应用系统实际功能实际功能结点列表结点列表已注册已注册功能功能结

7、点列表结点列表用户授权用户授权功能功能结点列表结点列表用户1默认设置默认设置_1_1实际授权实际授权2 21 13 3默认设置默认设置_2_2page 122022-5-8 权限类别管理u功能权限类型（单选）有权限( (可操作可操作) )无权限( (只可见只可见/ /不可见不可见) )u数据权限类型（多选）读-写-删除-修改-打印-全部这部分可考虑统一作为编码管理page 132022-5-8 角色管理u角色信息的管理角色信息的管理角色信息的增加删除修改角色信息操作的外部事件u角色与用户的关系管理角色与用户的关系管理u角色与功能结点的关系管理角色与功能结点的关系管理page 142022-5-

8、8 用户管理u用户的增加删除修改用户的增加删除修改u获取外部用户列表接口获取外部用户列表接口应用系统中已经存在用户应用系统中已经存在用户u提供获取用户列表接口提供获取用户列表接口应用系统中不存在用户应用系统中不存在用户考虑使用LDAP接口规范page 152022-5-8 数据权限控制结构图应用系统受控数据对象资源应用系统受控数据对象资源接口权限系统受控数据树权限系统受控数据树权限系统受控数据树类别 1类别 2类别 N角色用户读-写-删除-修改-打印-全部page 162022-5-8 数据权限控制模块数据权限控制模块u数据规则类别u引用系统数据资源获取u自定义数据规则管理u数据规则与用户关系

9、u数据规则与角色关系u效验单个数据访问点权限u获取用户授权数据表page 172022-5-8 数据规则类别数据规则类别实现对数据规则树进行分类简化授权分类难度结点类别可管理(增加/删除/修改)数据结点类型表类型I D类型编码类型名称备注varchar(20)varchar(20)varchar(60)varchar(255)page 182022-5-8 数据规则模型数据规则模型数据规则表是递归关系(树)其中的类型ID对应分类表中的分类自定义规则用于自定义的数据过滤条件这些自定义规则最后都由应用系统来解释.数据规则编码是一个重要效验条件FK_type_dataFK_data_pdata数据规

10、则表数据规则I D父规则I D类型I D数据规则编码数据规则名称自定义规则备注varchar(20)varchar(20)varchar(20)varchar(20)varchar(255)varchar(255)varchar(255)数据结点类型表类型I D类型编码类型名称备注varchar(20)varchar(20)varchar(60)varchar(255)page 192022-5-8 应用系统数据资源获取应用系统数据资源获取应用系统数据内部数据资源树接口接口UI展现通过统一的接口将外部的数据表等需要受控制的数据对象动态抽取到权限系统中并展现出来,服务于授权管理应用系统实现的接口

11、应用系统实现的接口权限系统提供注入方法权限系统提供注入方法应用系统提供的应用系统提供的APIAPI授权page 202022-5-8 自定义数据规则管理自定义数据规则管理数据规则树用户录入的数据规则信息用户录入的数据规则信息保存到数据库这些数据规则信息可自定义数据效验规则规则规范可自定义(遵循 谁提出谁解释的原则)UI展现授权page 212022-5-8 数据规则与用户关系数据规则与用户关系所在班级所在班级所在年级所在年级1,2,3,51,2,3,5班班读-写-删除-修改-打印-全部1 - 1 - 0 - 0 - 0 0 - 0 - 0 - - 0 - 0 0 - 00 - 0 - 0 -

12、0 - 0 0 - 0 - 0 - - 0 - 0 - 1 11 - 1 - 0 - 1 - 1 0 - 1 - 1 - - 1 - 0 1 - 0用户1分类分类1 1分类分类2 2用户与数据规则是多对多关系用户对这些数据规则可以拥有不同的权限如果不勾选任何权限,那么用户与该数据规则将不产生关联规则权限不具有继承关系,父亲规则授权不代表子规则授权,子规则授权也不代表父规则授权用户2page 222022-5-8 数据规则与角色关系数据规则与角色关系所在年级所在年级所在班级所在班级1,2,5,61,2,5,6班班读-写-删除-修改-打印-全部1 - 1 - 0 - 0 - 0 0 - 0 - 0

13、 - - 0 - 0 0 - 00 - 0 - 0 - 0 - 0 0 - 0 - 0 - - 0 - 0 - 1 11 - 1 - 0 - 1 - 1 0 - 1 - 1 - - 1 - 0 1 - 0角色1分类分类1 1分类分类2 2角色2角色与数据规则的关系类似于用户与规则的关系角色之间不存在继承关系如果要实现继承，那么将首要考虑性能问题.page 232022-5-8 效验单个数据访问点权限效验单个数据访问点权限对应对应类型类型授权授权规则规则列表列表用户ID访问方式 读/写/删除数据ID规则类型待效验权限效验器效验单个数据访问权限时:通过用户ID,访问方式,以及数据规则ID可以得到是

14、否被许可访问.实际实际无规则无规则默认默认page 242022-5-8 获取用户授权数据规则表获取用户授权数据规则表用户ID访问方式 读/写/删除规则类型数据类型已知条件通过用户ID,访问方式以及规则分类,数据类型可以获取到该规则下的所有满足访问方式条件的数据规则表对应对应类型类型授权授权规则规则列表列表权限效验器实际实际无规则无规则默认默认page 252022-5-8 数据权限效验细节考虑数据权限效验细节考虑权限是用二进制来描述的有多少种权限就对应多少个二进制位在数据库中采用5位 int 表示多种权限就是对整型数相加,效验时按位与操作操作用户用户所在班级所在班级0001 0001 读读0

15、010 0010 写写0100 0100 删除删除0111 0111 读读, ,写写, ,删除删除用户11,2,31,2,3班班规则解释器规则解释器page 262022-5-8 面向各个系统的接口功能u面向应用系统应用的接口面向应用系统应用的接口u面向应用系统数据资源的接口面向应用系统数据资源的接口u面向用户及面向用户及UI界面的接口界面的接口u面向数据层的接口面向数据层的接口page 272022-5-8 面向应用系统应用的接口面向应用系统应用的接口认证用户权限接口认证角色权限接口为用户授权的接口为角色授权的接口为角色设置用户的接口为用户分配角色的接口取消用户授权的接口取消角色授权的接口角色管理的接口(增加删除修改)page 282022-5-8 面向应用系统数据资源的接口面向应用系统数据资源的接口提供应用系统数据资源管理接口(增加删除修改)提供数据资源刷新的接口数据资源类别管理接口(增加删除修改)数据资源对象模型数据规则管理接口(增加删除修改)page 292022-5-8 面向用户及面向用户及UIUI界面的接口界面的接口用户管理接口(增