通用权限管理系统资料

1、通用权限管理系统设计一.引言权限系统一直以来是我们应用系统不可缺少的一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系 统是很有意义的。二.设计目标设计一个灵活、通用、方便的权限管理系统。在这个系统中，我们需要对系统的所有资源进行权限控制，那么系统中的资源包括哪些呢？我们可以把这些资源简单概括为 静态资源（功能操作、数据列）和 动态资源（数据），也分别称为 对象资源和数据 资源，后者是我们在系统设计与实现中的叫法。系统的目标就是对应用系统的所有对象资源和数据资源进行权限控制，比如应用系统的功能菜单、各个界

2、面的按钮、数据显示的列以及各种行级数据进行权限的操控。三.相关对象及其关系大概理清了一下权限系统的相关概念，如下所示：权限系统的所有权限信息。权限具有上下级关系，是一个树状的结构。下面来看一个例子系统管理用户管理查看用户新增用户修改用户删除用户对于上面的每个权限，又存在两种情况，一个是只是可访问，另一种是可授权，例如对于“查看用户” 这个权限，如果用户只被授予“可访问”，那么他就不能将他所具有的这个权限分配给其他人。用户应用系统的具体操作者，用户可以自己拥有权限信息，可以归属于0n个角色，可属于0n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、

3、角色、组之间的关系都是 n对n的关系。角色为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系，可以形成树状视图，父级角色的权限是自身及它的所有子角色的权限的综合。父级角色的用户、父级角色的组同理可推。组为了更好地管理用户，对用户进行分组归类，简称为用户分组。组也具有上下级关系，可以形成树状视图。在实际情况中，我们知道，组也可以具有自己的角色信息、权限信息。这让我想到我们的QQ用户群，一个群可以有多个用户，一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ群也可以具有自己的角色信息，例如普通群、高级群等。

4、针对上面提出的四种类型的对象，让我们通过图来看看他们之间的关系。有上图中可以看出，这四者的关系很复杂，而实际的情况比这个图还要复杂，权限、角色、组都具有上下级关系， 权限管理是应用系统中比较棘手的问题，要设计一个通用的权限管理系统，工作量也着实不小。当然对于有些项目，权限问题并不是那么复杂。 有的只需要牵涉到权限和用户两种类型 的对象，只需要给用户分配权限即可。在另一些情况中，引入了角色对象，例如基于角色的权限系统，只需要给角色分配权限，用户都隶属于角色，不需要单独为用户分配角色信息。在下一篇中，我们将讲述权限管理的数据库设计等内容。欢迎各位拍砖或给出宝贵意见。国庆前整的通用权限设计的数据库初

5、步设计部分，现在贴上来。理清了对象关系之后，让我们接着来进行数据库的设计。在数据库建模时，对于 N对N的关系，一般需要加入一个关联表来表示关联的两者的关系。初步估计一下，本系统至少需要十张表，分别为：权限表、用户表、角色表、组表、用户权限关联表、用户角色关联表、角色权限关联表、组权限关联表、组角色关联表、用户属组关联表。当然还可能引出一些相关的表。下面让我们在PowerDesigner中画出各表吧。各表及其关系如下:bi c is.t 灰限皂件,一匚hur 164) 就剧物H wchar IZOD)FKRflfar&nc*JH- bi#!/年均0款匕费后迪品/；立+ _sMri. btf i&

6、l5tli 工通帮 J 地内耳种 也 Jtrtm 甘.俄就堂出值再R k 身角色bdIhirwchKF I fid)cU IZOO)用户收悔更bicLA.t EL2：Refine4 11bifiiit b4.i*由 bi ri litCHfkr筌 H)罐名郡nr仁Inr旭靖K 电MEM市看rf茴占t* titM 组声设rujUCXmFK_FU，0 5闱产新色般金充挣m b: jat .jL-再占 _ 一 、；nE Y *川也 b ft 次佳mt： at任亨门bigtvpk良也内存yzcMpKJ) 次也人 卜回品叵作 ft 犷I darNT所1网用率也刊交上充PH追fts或rrKt-衡Ft以Q苒

7、右卷加阿ftMInriwl w 匚 bur I hd I h u!uJ twdtar (20) juc1u l.t-l date tiiFMLm dntetimt 1H irxv l证手匕bhfflt wwirltau1 I&4 I i&tcliMe -nn-i-iaa- |?l30J用户表用户表(TUser )字段名称字段类型备注记录标识tu_idbigintpk, not null所属组织to_idbigintfk, not null登录帐号login_namevarchar(64)not null用户密码passwordvarchar(64)not null用户姓名vsernamevar

8、char(64)not null手机号mobilevarchar(20)电子邮箱emailvarchar(64)创建时间gen_timedatetimenot null登录时间login_timedatetime上次登录时间last_login_timedatetime登录次数countbigintnot null角色表角色表(TRole )字段名称字段类型备注角色IDtr_idbigintpk, not null父级角色IDparent_tr_idbigintnot null角色名称role_namevarchar(64)not null创建时间gen_timedatetimenot nul

9、l角色描述descriptionvarchar(200)权限表权限表（TRight ）字段名称字段类型备注权限IDtr_idbigintpk, not null父权限parent_tr_idbigintnot null权限名称right_namevarchar(64)not null权限描述descriptionvarchar(200)组表组表(TGroup )字段名称字段类型备注组IDtg_idbigintpk, not null组名称group_namevarchar(64)not null父组parent_tg_idbigintnot null创建时间gen_timedatetimeno

10、t null组描述descriptionvarchar(200)角色权限表角色权BM表(TRoleRightRelation)字段名称字段类型备注记录标识trr_idbigintpk, not null角色Role_idbigintfk, not null权限right_idbigintfk, not null权限类型right_typeintnot null （0:可访问，1:可授权）组权限表组权限表(TGroupRightRelation)字段名称字段类型备注记录标识tgr_idbigintpk, not null组tg_idbigintfk, not null权限tr_idbigintf

11、k, not null权限类型right_typeintnot null （0:可访问，1:可授权）组角色表组角色表(TGroupRoleRelation)字段名称字段类型备注记录标识tgr_idbigintpk, not null组tg_idbigintfk, not null角色tr_idbigintpk, not null用户权限表用户权BM表(TUserRightRelation)字段名称字段类型备注记录标识tur_idbigintpk, not null用户tu_idbigintfk, not null权限tr_idbigintfk, not null权限类型right_typein

12、tnot null （0:可访问，1:可授权）用户角色表用户角色表(TUserRoleRelation)字段名称字段类型备注记录标识tur_idbigintpk, not null用户tu_idbigintfk, not null角色tr_idbigintfk, not null用户组表用户组表(TUserGroupRelation)字段名称字段类型备注记录标识tug_idbigintpk, not null用户tu_idbigintfk, not null组tg_idbigintfk, not null组织表组织表(TOrganization )字段名称字段类型备注组织idto_idbigi

13、ntpk, not null父组parent_to_idbigintnot null组织名称org_namevarchar(64)not null创建时间gen_timedatetimenot null组织描述descriptionvarchar(200)操作日志表操作日志表（TLog ）字段名称字段类型备注日志IDlog_idbigintpk, not null操作类型op_typeintnot null操作内容contentvarchar(200)not null操作人tu_idbigintfk, not null操作时间gen_timedatetimenot null引言编写目的本文档对

14、通用权限管理系统的总体设计、接口设计、界面总体设计、数据结构设计、系统出错处理设 计以及系统安全数据进行了说明。背景a、软件系统的名称：通用权限管理系统；b、任务提出者、开发者：谢星星；c、在J2EE的web系统中需要使用权限管理的系统。术语本系统：通用权限管理系统；SSH:英文全称是 Secure Shell。预期读者与阅读建议预期读者阅读重点开发人员总体设计、接口设计、数据结构设计、界面总体设计、系统出错处理设计设计人员总体设计、接口设计、数据结构设计、系统安全设计参考资料通用权限管理系统需求规格说明书通用权限管理系统数据库设计说明书总体设计设计目标权限系统一直以来是我们应用系统不可缺少的

15、一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系 统是很有意义的。本系统的设计目标是对应用系统的所有资源进行权限控制，比如应用系统的功能菜单、各个界面的按 钮控件等进行权限的操控。运行环境操作系统：Windows系统操作系统和Linux系列操作系统。网络结构通用权限管理系统可采用 Java Swing实现，可以在桌面应用和 Web应用系统中进行调用。如果需要要适 应所有开发语言，可以将其 API发布到 WEB Service上。暂时用Java Swing实现。总体设计思路和处理流程在说明总体设计思路前，

16、我们先说明本系统的相关概念：限资源系统的所有权限信息。权限具有上下级关系，是一个树状的结构。下面来看一个例子系统管理用户管理查看用户新增用户修改用户删除用户对于上面的每个权限，又存在两种情况，一个是只是可访问，另一种是可授权，例如对于“查看用户” 这个权限，如果用户只被授予“可访问”，那么他就不能将他所具有的这个权限分配给其他人。户应用系统的具体操作者，用户可以自己拥有权限信息，可以归属于0n个角色，可属于0n个组。他的权限集是自身具有的权限、所属的各角色具有的权限、所属的各组具有的权限的合集。它与权限、角 色、组之间的关系都是 n对n的关系。色为了对许多拥有相似权限的用户进行分类管理，定义了

17、角色的概念，例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系，可以形成树状视图，父级角色的权限是自身及它的所有子角色的权限 的综合。父级角色的用户、父级角色的组同理可推。为了更好地管理用户，对用户进行分组归类，简称为用户分组。组也具有上下级关系，可以形成树状视图。在实际情况中，我们知道，组也可以具有自己的角色信息、 权限信息。这让我想到我们的 QQffl户群， 一个群可以有多个用户，一个用户也可以加入多个群。每个群具有自己的权限信息。例如查看群共享。QQ群也可以具有自己的角色信息，例如普通群、高级群等。针对如上提出的四种对象，我们可以整理得出它们之间的关系图，如下所示:总体设计思路

18、是将系统分为组权限管理、角色权限管理、用户权限管理、组织管理和操作日志管理五 部分。其中组权限管理包括包含用户、所属角色、组权限资源和组总权限资源四部分，某个组的权限信息可 用公式表示：组权限 =所属角色的权限合集 +组自身的权限。角色权限管理包括包含用户、包含组和角色权限三部分，某个角色的权限的计算公式为：角色权限=角色自身权限。用户权限管理包括所属角色、所属组、用户权限、用户总权限资源和组织管理五部分。某个用户总的权限信息存在如下计算公式：用户权限=所属角色权限合集 +所属组权限合集 +用户自身权限组织管理即对用户所属的组织进行管理，组织以树形结构展示，组织管理具有组织的增、删、改、查功能

19、操作日志管理用于管理本系统的操作日志。注意：因为组和角色都具有上下级关系，所以下级的组或角色的权限只能在自己的直属上级的权限中 选择，下级的组或者角色的总的权限都不能大于直属上级的总权限。模块结构设计本系统的具有的功能模块结构如下图所示:丁用权限常蹉事镣,-1户U眼?呼-ba谕禺断冒用作冕tH门用产量E.*色戋青期帧独ftP未解决的问题无。接口设计（暂略）用户接口（暂略）外部接口（暂略）内部接口（暂略）界面总体设计本节将阐述用户界面的实现，在此之前对页面元素做如下约定:序号页面元素约定1按钮未选中时：按钮名称选中时：按钮名称2单选框O选项3复选框选项4下拉框选项，,V5文本框|6TextAre

20、a|7页签未选中时：出项名称选中时：韭项名称8未选中链接链接文字9选中链接链接文字10说明信息说明信息组权限管理4.1.1包含用户组信息组1组11组12组组2组21组22组-所选择组：组1包含用户所属角色组权限总权限修改用户名姓名手机号最近登录时间登录次数阿蜜果 谢星2007-10-866sterning xxx135555555552007-10-810当用户选择“修改”按钮时，弹出用户列表，操作人可以通过勾选或取消勾选来修改该组所包含的用户。4.1.2所属角色组信息所选择组：组1包含用户所属角色组权限总权限组11修改组12角色ID角色名称角色描述1访客-组-组22

21、初级用户-组21组22组-当用户选择“修改”按钮时，弹出角色树形结构，操作人可以通过勾选或取消勾选来修改该组所属的角色。4.1.3组权限组信息组1组11组12组组2组21所选择组：组1包含用户所属角色组权限总权限5上订座vta问段障卡营宜校的组223 上出超人铜密布以香画“为同秋审?告理暮眼 +航班小聘投计捅霆 力够冏权除管理依陶组-中 人及CRS帼胃绒i十播羲YS向双限力曾电 加统功言 V访问权用首超粗眼 也用期勤 。由河取取审管由权即 老于我外。访问枳明丁哲春艮限3- 结拉q诂衬枳陶r营叠持阳曲, ofAsm卡法问段阻r盲理臼除0营业部收人有何 d诒河机期 管理联网及代建人收入塞揖v黄m於

22、即署理段限曲，而眼科人指标查涸“5向整淞r管理模目9立用航蚣靶7诂问尿网rg理权限、刷新用f利网：西冏双阳r告理权限修西用户与国 号为何板隔富观初陀,*阴户皙5 r访问权限r售型权限保存取消4.1.4 总权限组信息组i组ii组12组组2组21组22组-所选择组：组1包含用户所属角色组权限总权限才*仃座 审法问较晤审普理积艰当/就选他信信也直澧 孑访问权限首裳校医公 乜代理人晌营莅恳受询 7访问权隈中管理中阻电-航硼小时线计播襄M3同根眼皆理科辟代理人及CRS售技通报衰审访问脚R歹售S*系拄功龙 /访问&隔孑管理权跟爵使用帮助“访词扳母丁管理程艰 关于我们 事访问权厚守告理权限3，靖中访问权需r

23、营理权限处航亚收入羞酒 中访闽权审r营总权眼酷营业隧人有诲o访问权即r管速权限中代理人收入查询中访问权眼匚管理萩跟.-黄即人指标直濯 炉访问枳般管理槌59 系舞功能方法问权随f管理权照刷笔用尸机即访问权用r管理权限修改用尸至褪夕诂河郎ft r管避秋眠用户管起访问权晒r管理权限保存取消通过对已具有的权限取消勾选，或为某权限添加勾选，来修改组的权限信息，点击“保存”按钮保存修改信息。4.1.5组管理在下图中，选中组1的时候，右键点击可弹出组的操作列表，包括添加、删除和修改按钮，从而完成在该组下添加子组，删除该组以及修改该组的功能。组信息组1组11组12组组2组21组22组-所选择组：组1包含用户所

24、属角色组权限总权限修改用户名姓名手机号最近登录时间登录次数阿蜜果 谢星2007-10-866sterning xxx135555555552007-10-810角色权限管理4.2.1包含用户角色信息角色1所选择角色：角色1包含用户包含组角色权限角色11修改角色12用户名姓名手机号最近登录时间登录次数阿蜜果 谢星星2007-10-866角色.角色2sterning xxx135555555552007-10-810角色21角色22角色.当用户选择“修改”按钮时，弹出用户列表，操作人可以通过勾选或取消勾选来修改该角色所包含的用户。4.2.2 包含

25、组角色信息所选择角色：角色1角色1包含用户包含组角色权限角色11修改角色12组ID组名称组描述角色.1xxx1-角色22xxx2-角色21角色22角色.当用户选择“修改”按钮时，弹出用户列表，操作人可以通过勾选或取消勾选来修改该角色所包含的 组。4.2.3角色权限角色信息所选择角色：角色1角色1包含用户包含组角色权限角色11才，仃座V访问较降皆曾理枳眼航班纲售信息直息 V访问权限告起校瓜角色12今代理人德可德星壹词 访问权限歹管理日用翁*航班小时我计推衰M3间积眼V省理科印8变代理人技CR5摘售貌计推衰 7访画权限歹售过权限角色.今，系疑功1E审访问权隔中告理权限$ 使用帮助中访词权即审管理飙

26、艰1的，.关于就们1?访问权厚守哲理机隈角色23 塔中访问权蹲匚营理积限a 肮加收入茶酒1?访阿权闹首理权限e . 代理人及CRS晌售貌计推袤 斤访网权限V售过权限 国系嫌功1E中法问权牌中告理权限令使用帮助 中访词权即中管理根暇叁,言业部根入查诲7访间权跟r管理权网!- 代理人收入查询访同权闲r营朝啤阶.黄胁RA指标委湾访问树H-管理粒因0 _系第功能 厅诂问权图r管理权限刷有用户权限r访问权闻管理权通修改用尸至进。法将幡 匚管速校眼卜用户管理 匚访问机曜管理般限保存取消zz3通过对已具有的权限取消勾选，或为某权限添加勾选，来修改用户的权限信息，点击“保存”按钮保存修改信息。4.3.4总权限

27、用户信息xx公司广州分 公司阿蜜果肖xxyy 北京分公司zz1zz2zz3所选择用户：阿蜜果所属角色所属组用户权限总权限才订座V访问较靖售理衽眼.-航选培信信叠濯 厅访问权用看起校限 &代理人情!莅星叁谑 7访同裁限歹管理业闲令航班小时我计报表 V访同根眼省理松曜8吗代理人及CRS情告貌计报表 7访同权限7售过权限必系烧功1E旧通同权图中告理权限4,使用帮助 。访词权即中省理根暇3+关于我们 V访问权厚歹昔理权限3 结，中访问较黑匚若就积限a 肮加收入鑫诲中访阿权限r管理权限出 ,营业如楔入查谭方访问权阳匚管理权网； 代理人收入查询v访同权限r管理叔耀安黄瞅收人指标受i# V访问脚H匚管理粒困

28、$ 4系第功能 厅访问收即管理守限刷有用户权限r访问根碣r管理权通修疑用尸至能 审访问榭s匚管避税限 卜用户甘理访问机事口管理积跟保存取消通过对已具有的权限取消勾选，或为某权限添加勾选，来修改用户的权限信息，点击“保存”按钮保存修改信息。用户管理当选择了某用户时，点击右键，弹出菜单列表：修改、删除、取消，点击修改和删除按钮可以实现用 户的删除和修改功能。选择某个组织，例如下表中的“广州分公司”，弹出菜单列表：添加子组织、删除组织、修改组织、 添加用户、取消，点击添加用户按钮可以实现用户的添加功能。用户权限信息xx公司广州分公司阿蜜果肖xxyy-北京分公司zz1zz2zz3所选择用户：阿蜜果所属

29、角色所属组用户权限总权限修改角色ID角色名称角色描述访客-初级用户-组织管理选择某个组织，例如下表中的“广州分公司”，弹出菜单列表：添加子组织、删除组织、修改组织、 添加用户、取消，点击添加子组织、删除组织、修改组织按钮可以实现组织的添加、删除和修改功能。用户权限信息xx公司广州分公 司阿蜜果肖xxyy北京分公 司zz1zz2zz3所选择用户：阿蜜果所属角色所属组用户权限总权限修改角色ID角色名称角色描述访客-初级用户-操作日志管理查询操作日志操作名称：|,|查询重置删除编号操作名称操作内容操作人操作时间1xx1-Amigo2007-10-82xx2-xxyy2007-10-8输入上图表单中的

30、查询信息后，点击“查询”按钮，可查询出符合条件的信息。删除操作日志操作名称：|_| 操作人：|操作时间从|至I |查询重置删除编号操作名称操作内容操作人操作时间107-10-8xx1-Amigo202xx2-xxyy2007-10-8输入上图表单中的查询信息后，点击“查询”按钮，可查询出符合条件的信息。而后点击“删除”按 钮，可删除符合查询条件的操作日志。数据结构设计数据库设计的模型请参见通用权限管理系统数据库模型.pdm o表的说明请参见通用权限管理系统数据库设计说明书。设计原则命名的规范数据库中表、主键、外键、索引的命名都以统一的规则，采用大小写敏感的形式，各种对象命名长度 不要超过30个字符，这样便于应用系统适应不同的数据库平台。数据的一致性和完整性为了保证数据库的一致性和完整性，往往通过表间关联的方式来尽可能的降低数据的冗余。表间关联是一种强制性措施，建立后，对父表( Parent Table )和子表(Child Table) 的插入、更新、删除操作均要 占用系统的开销。如果数据冗余低，数据的完整性容易得到保证，但增加了表间连接查询的操作，为了提高系统的响应时间