權(quán)限控制解決方案

1、權(quán)限控制解決方案角色與資源對應(yīng)（資源包括、組件以及用于進行數(shù)據(jù)權(quán)限控制的資源等），一個角色可對應(yīng)多個資源；另一方面角色與用戶、部門、公司對應(yīng)，一個角色可以對應(yīng)多個用戶、部門或公司，同時對于放入角色當(dāng)中的用戶、部門、公司可以設(shè)置這個角色成員在當(dāng)前角色中的訪問權(quán)限（允許還是拒絕訪問），如果當(dāng)前成員（用戶、部門、公司）在當(dāng)前角色中訪問權(quán)限為允許訪問，那么就可以訪問當(dāng)前角色對應(yīng)的資源，否則就不能訪問當(dāng)前角色對應(yīng)的資源，利用這種特性就可以很容易的實現(xiàn)權(quán)限的加減計算。角色可以與資源、數(shù)據(jù)權(quán)限控制資源對應(yīng)，同時角色當(dāng)中對應(yīng)的成員可以有用戶、 部門、公司三種類型。如果用戶在角色當(dāng)中訪問權(quán)限為允許那么該用戶就可

2、以訪問當(dāng)前 公司對應(yīng)的資源；如果部門在角色當(dāng)前訪問權(quán)限為拒絕，那么該部門以及該部門子部門中所有用戶都不可以訪問當(dāng)前角色對應(yīng)的資源；公司是一個容器，當(dāng)前存放的是用戶與 部門，所以如果公司在角色當(dāng)中訪問權(quán)限為是，那么該公司當(dāng)中的用戶或部門就可以訪 問當(dāng)前角色對應(yīng)的資源。對于系統(tǒng)資源（資源、數(shù)據(jù)權(quán)限控制資源）保護，系統(tǒng)首先判斷當(dāng)前資源有沒有與 角色對應(yīng)起來，如果對應(yīng)起來，那么只有該角色當(dāng)中明確聲明可以訪問的成員（用戶、 部門、公司）才能訪問當(dāng)前角色對應(yīng)的資源，其它一概不允許訪問。當(dāng)某個登錄用戶要 訪問某個受保護的資源時（當(dāng)前資源與某個角色對應(yīng)起來），系統(tǒng)首先判斷當(dāng)前登錄用 戶是否在該資源對應(yīng)的角色成

3、員當(dāng)中，如果在其中且允許訪問該角色中資源，那么就允許該角色訪問目標(biāo)資源；如果在角色當(dāng)中，但不允許訪問角色中資源，那么該用戶就不 能訪問目標(biāo)資源。如果當(dāng)前用戶不在該資源對應(yīng)的角色當(dāng)中，就判斷當(dāng)前用戶所屬部門 是否在該資源對應(yīng)的角色當(dāng)中， 如果在其中的，那么首先判斷當(dāng)前用戶所在部門的上級 部門能否訪問該角色對應(yīng)資源， 如果當(dāng)前用戶所在部門的所有上級部門中只要有一個不 允許訪問當(dāng)前角色對應(yīng)的資源， 那么該用戶就不允許訪問當(dāng)前資源；反之如果當(dāng)前用戶 所在部門的所有上級部門都允許訪問當(dāng)前角色對應(yīng)資源，那么就判斷當(dāng)前用戶直屬的部門能否訪問當(dāng)前角色對應(yīng)資源，如果可以訪問，那么用戶就可以訪問當(dāng)前資源，如果不

4、可以，那么用戶就不能訪問資源；如果當(dāng)前用戶所在部門不在當(dāng)前角色當(dāng)中，那么就判斷當(dāng)前用戶是否在當(dāng)前角色對應(yīng)的公司當(dāng)中（用戶直接屬于公司或用戶在公司對應(yīng)的部門當(dāng)中），再采用與之前相同的邏輯來判斷當(dāng)前用戶是否可以訪問被保護的目標(biāo)資源。對頁面組件進行授權(quán)是對頁面當(dāng)中諸如按鈕、表格、表格列、樹、樹節(jié)點之類組件實現(xiàn)權(quán)限控制，直接將用戶、部門或公司與頁面組件資源對應(yīng)起來，設(shè)置對應(yīng)時還可以 進一步設(shè)置組件資源與用戶、部門或公司訪問關(guān)系（允許訪問還是拒絕訪問），從而實 現(xiàn)組件級別權(quán)限控制。組件存在于頁面當(dāng)中， 所以在進行組件級別權(quán)限控制時，需要將組件資源與具體的資源對應(yīng)起來，就可以在用戶瀏覽某頁面時根據(jù)組件權(quán)限

5、的設(shè)置決定當(dāng)前登錄用戶是否 可訪問當(dāng)前頁面中某些施加權(quán)限控制的組件。用到的主要表信息：表 描述名菜單資源表，用來保存系統(tǒng)資源，供權(quán)限分配使用，也用來作為導(dǎo)航的菜單表組件資源表，用來保證業(yè)務(wù)界面當(dāng)中組件信息，供權(quán)限分配使用，組件不能單獨 存在，需要與關(guān)聯(lián)角色表，用來存放角色信息，它是安全核心，一方面角色關(guān)聯(lián)一批資源，另一方 面角色與用戶、部門、公司關(guān)聯(lián)，實現(xiàn)資源權(quán)限控制。角色成員表，實現(xiàn)角色與用戶、部門、公司關(guān)聯(lián)，同時關(guān)聯(lián)時可設(shè)置角色中成員 的訪問權(quán)限（允許訪問還是拒絕訪問）。角色資源表，用于實現(xiàn)角色于資源、數(shù)據(jù)權(quán)限控制資源關(guān)聯(lián)。7 / 6可以訪問當(dāng)前組件的成員表，有三種類型成員：用戶、部門和公

6、司用于實現(xiàn)業(yè)務(wù)數(shù)據(jù)權(quán)限的資源表通過類組裝好需要的語句， 然后再通過該中提供的方法生成最終執(zhí)行的，這樣就可 以實現(xiàn)業(yè)務(wù)數(shù)據(jù)的權(quán)限控制。類主要的方法如下表所示：方法描述名（口）創(chuàng)建對象實例的構(gòu)造方法，要兩個參數(shù)，第一個參數(shù)是查詢中要獲取的字段，比 如“”，第二個參數(shù)要指定查詢的目標(biāo)表，對于查詢目標(biāo)表而言一般是一張表， 當(dāng)然也可以有多個，所以這里是一個對象的數(shù)組，如果查詢目標(biāo)表中有一個，那 這個數(shù)組中只有一個對象，否則應(yīng)該有多個。是一個簡單的對象用于設(shè)置查詢中是否有連接，如果有則將具體的連接的表達式設(shè)置進去，比如“”，當(dāng)前如果不需要連接就可以不用設(shè)置用于設(shè)置查詢中的條件部分的內(nèi)容，比如："

7、 ''?"（口）設(shè)置參數(shù)條件對應(yīng)的值，這里要求給一個對象類型的數(shù)組，用于填充在方法中填寫條件中的？，比如上面的？()()用于設(shè)置查詢中的 部分，比如""得到經(jīng)過組裝的、可能帶有動態(tài)添加用于權(quán)限控制的條件的查詢，開發(fā)人員可以通過該方法將取到的交給數(shù)據(jù)庫進行查詢()得到經(jīng)過組裝的、可能帶有動態(tài)添加用于權(quán)限控制的條件的查詢數(shù)據(jù)總數(shù)，一般用于分頁查詢時使用表的關(guān)鍵列信息如下表所示：列描述名具體業(yè)務(wù)數(shù)據(jù)表的表名，比如對哪個列添加條件約束，比如標(biāo)準(zhǔn)的條件表達式，比如、 、之類條件的值，這里的值可以是一個靜態(tài)的值，比如，也可以是一段表達式，比如“表示要取當(dāng)前登錄

8、用戶所在部門的，“()”表示取當(dāng)前登錄用戶的用戶名，對于這里可以設(shè)置的表達式，例如：1 .:當(dāng)前登錄用戶所在部門的，如果當(dāng)前登錄用戶隸屬多個部門，這里是中間 用逗號分隔的多個部門。2 .:系統(tǒng)當(dāng)中的對象，所以可以調(diào)用其()、()之類的方法，如上面的示例。3 .:當(dāng)前登錄用戶所在部門的所有子部門的，同樣用逗號分隔多個子部門的。4 .除了使用這些現(xiàn)成的表達式名，還允許開發(fā)人員自定義自己的動態(tài)表達式，如果需要定義自己的表達式，開發(fā)人員只需要實現(xiàn)接口，在該接口中只有 一個 , ()方法需要實現(xiàn)，這個方法要求返回一個對象，如下面的代碼所示：， ()<> <>();("&

9、quot;();(""()();在上面的方法實現(xiàn)當(dāng)中，注冊了兩個表達式，一個是名為，表示取當(dāng)前系 統(tǒng)的默認日期，第二個名為取的是用戶的地址。實現(xiàn)類編寫完成后，在系統(tǒng)啟動時會自動掃描到該實現(xiàn)的存在，并對其進 行解析加載，這樣后面我們就可以使用這里的及來作為列的值，比如：。采用類拼裝好查詢之后，接下來就需要在表中配置好相關(guān)的數(shù)據(jù)，以實現(xiàn)對查詢動 態(tài)條件的添加。默認配置在表中的數(shù)據(jù)權(quán)限信息在沒有分配給具體的人時不會生效，只有顯示的將表中數(shù)據(jù)權(quán)限內(nèi)容分配某個人或部門或公司，這樣這個人或部門下的人或公司下的所有的人在訪問有數(shù)據(jù)權(quán)限控制的表數(shù)據(jù)時，就不會在查詢的后面動態(tài)添加條件，從而限制 用戶可看到的業(yè)務(wù)