1、權(quán)限表協(xié)甌 nMSH捉限標(biāo)識 YfiKCJiftK2(50)用尸角色去缺用 QlD NUMBER 掛色I(xiàn)D HUMEER 擴(kuò)展RBAC用戶角色權(quán)限設(shè)計方案RBA（Role-Based Access Control，基于角色的訪問控制），就是用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)。簡單地說，一個用戶擁有若干角色,每一個角色擁有若干權(quán)限。這樣，就構(gòu)造成“用戶 -角色-權(quán)限”的授權(quán)模型。在這種模型中，用戶與角色之間，角色與權(quán)限之間，一 般者是多對多的關(guān)系。（如下圖）用戶表用戶u財冠-用戶名（30）角色是什么？可以理解為一定數(shù)量的權(quán)限的集合，權(quán)限的載體。例如：一個論壇系統(tǒng)，“超級管理員”、“版主”都是角色。版主可

2、管理版內(nèi)的帖子、可管理版內(nèi)的用戶等，這些是權(quán)限。要給某個用戶授予這些權(quán)限，不需要直接將權(quán)限授予用戶，可將“版主”這個 角色賦予該用戶。當(dāng)用戶的數(shù)量非常大時，要給系統(tǒng)每個用戶逐一授權(quán)（授角色），是件非常煩瑣的事情。這時，就需要給用戶分組，每個用戶組內(nèi)有 多個用戶。除了可給用戶授權(quán)外，還可以給用戶組授權(quán)。這樣一來，用戶擁有的所有權(quán)限，就是用戶個人擁有的權(quán)限與該用戶所在用 戶組擁有的權(quán)限之和。（下圖為用戶組、用戶與角色三者的關(guān)聯(lián)關(guān)系）用戶組用，口油liN闍EER3用尸盥名稱VkECHikF.2 (50)僉用戶組名稱 mtER用戸辭與用戶尖廣叢用尸組TD2 Jfl.lMBER 用尸LD2 Nl.BER

3、 用2蛆諾色關(guān)聯(lián)族ffiPSgED IUWBER 角色JU MEER Fi； CI KEF EOLE用戶表甬色表圉尸卬im町囲用戶容 VAaGJttBC50)諸 fein KUWEEH殖色塔 VMiCKJlfiS GO)USER用戶角色關(guān)聯(lián)表用戸口 mJMBER 坤色I(xiàn)D TODER (昭；弓I入用尸齟)-角色在應(yīng)用系統(tǒng)中，權(quán)限表現(xiàn)成什么？對功能模塊的操作，對上傳文件的刪改，菜單的訪問，甚至頁面上某個按鈕、某個圖片的可見性控 制，都可屬于權(quán)限的范疇。有些權(quán)限設(shè)計，會把功能操作作為一類，而把文件、菜單、頁面元素等作為另一類，這樣構(gòu)成“用戶-權(quán)限-資源”的授權(quán)模型。而在做數(shù)據(jù)表建模時，可把功能操作

4、和資源統(tǒng)一管理，也就是都直接與權(quán)限表進(jìn)行關(guān)聯(lián)，這樣可能更具便 捷性和易擴(kuò)展性。（見下圖）闌瓦 mra aw“屯e血硼口圍曲I峯油法菲勰曲iT7HaiiraMrjm_oj_hi k _眇盯 “urgziroT肋d耳塡耳(oe) swotm艙咚T1R餐誌CosjmmA咸轡聊瞬(D9硏弟OfM零護(hù)蟄迅燧犁北詢黑宦HoniAia峯總創(chuàng)頂nam ai4#x tj無取皿衛(wèi)肛劇海 naawfui d瑋莖邀匹加業(yè)腮眥(nU詢峯建栄率宴團(tuán)瑩呦御!?抽科幗CII甫華舉殖興審舉潮般辣悵劃忑創(chuàng)曲(0功5TVHJ5WA懸規(guī)制笠(驗理堂業(yè) 分知耳 麵脫請蔓聲掙耳0|頂0科丄圈駕辜些里魚7H3Hil謨?nèi)锷L闕理亞uasiM

5、 to SSVIJIYA too刼陽毗OTMimoiWX 硼竜塗 舉空寅零尅兀宙逅峯甫運請留意權(quán)限表中有一列“權(quán)限類型”，我們根據(jù)它的取值來區(qū)分是哪一類權(quán)限，如“MEN”表示菜單的訪問權(quán)限、“ OPERATION表示功能模塊的操作權(quán)限、“ FILE”表示文件的修改權(quán)限、“ ELEMENT表示頁面元素的可見性控制等。這樣設(shè)計的好處有二。其一，不需要區(qū)分哪些是權(quán)限操作，哪些是資源，（實際上，有時候也不好區(qū)分，如菜單，把它理解為資源呢 還是功能模塊權(quán)限呢？）。其二，方便擴(kuò)展，當(dāng)系統(tǒng)要對新的東西進(jìn)行權(quán)限控制時， 我只需要建立一個新的關(guān)聯(lián)表“權(quán)限 XX關(guān)聯(lián)表”， 并確定這類權(quán)限的權(quán)限類型字符串。這里要注

6、意的是，權(quán)限表與權(quán)限菜單關(guān)聯(lián)表、權(quán)限菜單關(guān)聯(lián)表與菜單表都是一對一的關(guān)系。（文件、頁面權(quán)限點、功能操作等同理）也就是每添加一個菜單，就得同時往這三個表中各插入一條記錄。這樣，可以不需要權(quán)限菜單關(guān)聯(lián)表，讓權(quán)限表與菜單表直接關(guān)聯(lián)， 此時，須在權(quán)限表中新增一列用來保存菜單的 ID，權(quán)限表通過“權(quán)限類型”和這個ID來區(qū)分是種類型下的哪條記錄。到這里，RBACX限模型的擴(kuò)展模型的完整設(shè)計圖如下:用尸爼用戶細(xì)H碩倔k用PiS-g稱AEC靦2書心父用尸組畜稱NUMBER粟單表FK GUyGEOUFFK_G55DUF用戶爼身用戶矣朕轟用戸竝ng而丘云w云y角戶ED2HTOER 用P爼儲色蕪聯(lián)衷用戶組ID NUM

7、BER 角色衛(wèi) WUMBEK FK GU E JF USERFK GR Iffif R0L用戶丟用戶ID imi班F：uk用戶名 VARCHAB2130)NWER菜單ED 菜單3稱 菜單斑 父菜單BFl血ER VAKCHAR2 VAKCHAK2 (60) KUHBBR蟲面元索TTSijKD HI.IMBEK仙；克直元索褊珂VASCHW12 (50)文件表NMERkVARCHWC (5Q)文件ID究件若文件路徑(Fn ；FK PN MEF ttEJTUFK FEELE惟 KTFK PFF FILE權(quán)限ID NUMBEB 黑重ID HUMBER 權(quán)眼頁面丘素芙聯(lián)轟 權(quán)卩肛dWEEK 頁面元素ID

8、WEER PIIB HUMBER 文件ID HWIEER FK_PW_EEFMRIVIIH避 E_EEFjRIVf附F-馨人血打店呦權(quán)諾恿Mbhwee 取隈類型 VARCMAJt2 C50FK_UEF.U5EHFK_UR_EDLEFK KP REF FRIHLEGE用戶角邑羔聯(lián)表用戶LD NUMBER 兔色I(xiàn)U HUM EER 角色權(quán)限去聯(lián)表felD SUNBIR 叔EID NI.INBZR (圖：RE AC權(quán)限模型擴(kuò)展5撫作編瑪 攔截UKI肅嫌 皺操世tncitAREt5C) VARCHM2 CSO) VARCAK2 0) NUMBERFK P0 KEF JRIYILEEjFK FtJ KE

9、F 曲ERmClN X./椰賺作關(guān)聯(lián)視枳FSir imim 操作ID MSER隨著系統(tǒng)的日益龐大，為了方便管理，可引入角色組對角色進(jìn)行分類管理，跟用戶組不同，角色組不參與授權(quán)。例如：某電網(wǎng)系統(tǒng)的 權(quán)限管理模塊中，角色就是掛在區(qū)局下，而區(qū)局在這里可當(dāng)作角色組，它不參于權(quán)限分配。另外，為方便上面各主表自身的管理與查 找，可采用樹型結(jié)構(gòu)，如菜單樹、功能樹等，當(dāng)然這些可不需要參于權(quán)限分配。以上，是從基本的RBAC莫型進(jìn)行了擴(kuò)展，具體的設(shè)計要根據(jù)項目業(yè)務(wù)的需要作調(diào)整。歡迎大家提出批評意見!這是我后面加的：具體實現(xiàn)的話，可通過表的關(guān)聯(lián)查詢得到， 根據(jù)用戶ID查詢到它擁有的角色， 再通過角色查詢到它所擁有的權(quán)限。例如，查詢某個用戶所有授權(quán)的菜單:select m.* from menu m where exists (select Xfrom privilege_me nu pm, privilegee pwhere pm.privileged = p.privilegedand p.privilege_type = MENUand pm.me nu_id = m.me nu_idand exists(select Xfrom role_privilege rpwhere r