實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)中的用戶權(quán)限管理

實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)中的用戶權(quán)限管理--設(shè)計(jì)篇B/S系統(tǒng)中的權(quán)限比C/S中的更顯的重要，C/S系統(tǒng)因?yàn)榫哂刑厥獾目蛻舳?，所以訪問用戶的權(quán)限檢測可以通過客戶端實(shí)現(xiàn)或通過客戶端+服務(wù)器檢測實(shí)現(xiàn)，而B/S中，瀏覽器是每一臺(tái)計(jì)算機(jī)都已具備的，如果不建立一個(gè)完整的權(quán)限檢測，那么一個(gè)"非法用戶"很可能就能通過瀏覽器輕易訪問到B/S系統(tǒng)中的所有功能。因此B/S業(yè)務(wù)系統(tǒng)都需要有一個(gè)或多個(gè)權(quán)限系統(tǒng)來實(shí)現(xiàn)訪問權(quán)限檢測，讓經(jīng)過授權(quán)的用戶可以正常合法的使用已授權(quán)功能，而對(duì)那些未經(jīng)授權(quán)的"非法用戶'’將會(huì)將他們徹底的"拒之門外”。下面就讓我們一起了解一下如何設(shè)計(jì)可以滿足大部分B/S系統(tǒng)中對(duì)用戶功能權(quán)限控制的權(quán)限系統(tǒng)。需求陳述?不同職責(zé)的人員，對(duì)于系統(tǒng)操作的權(quán)限應(yīng)該是不同的。優(yōu)秀的業(yè)務(wù)系統(tǒng)，這是最基本的功能。??可以對(duì)"組"進(jìn)行權(quán)限分配。對(duì)于一個(gè)大企業(yè)的業(yè)務(wù)系統(tǒng)來說，如果要求管理員為其下員工逐一分配系統(tǒng)操作權(quán)限的話，是件耗時(shí)且不夠方便的事情。所以,系統(tǒng)中就提出了對(duì)"組'’進(jìn)行操作的概念，將權(quán)限一致的人員編入同一組，然后對(duì)該組進(jìn)行權(quán)限分配。??權(quán)限管理系統(tǒng)應(yīng)該是可擴(kuò)展的。它應(yīng)該可以加入到任何帶有權(quán)限管理功能的系統(tǒng)中。就像是組件一樣的可以被不斷的重用，而不是每開發(fā)一套管理系統(tǒng)，就要針對(duì)權(quán)限管理部分進(jìn)行重新開發(fā)。??滿足業(yè)務(wù)系統(tǒng)中的功能權(quán)限。傳統(tǒng)業(yè)務(wù)系統(tǒng)中，存在著兩種權(quán)限管理，其一是功能權(quán)限的管理，而另外一種則是資源權(quán)限的管理，在不同系統(tǒng)之間，功能權(quán)限是可以重用的，而資源權(quán)限則不能。?關(guān)于設(shè)計(jì)我們先來分析一下數(shù)據(jù)庫結(jié)構(gòu)：首先，action表（以下簡稱為“權(quán)限表"），gorupmanager表（以下簡稱為“管理組表"），以及master表（以下簡稱為"人員表”），是三張實(shí)體表，它們依次記錄著"權(quán)限”的信息，"管理組'’的信息和"人員”的信息。如下圖：彘表三四五張學(xué)王三四五垂享王超級(jí)管理員管理員一般月門彘表三四五張學(xué)王三四五垂享王這三個(gè)表之間的關(guān)系是多對(duì)多的，一個(gè)權(quán)限可能同時(shí)屬于多個(gè)管理組，一個(gè)管理組中也可能同時(shí)包含多個(gè)權(quán)限。同樣的道理，一個(gè)人員可能同時(shí)屬于多個(gè)管理組,管理組中也可能同時(shí)包含多個(gè)人員。如下圖：由于這三張表之間存在著多對(duì)多的關(guān)系，那么它們之間的交互，最好使用另外兩張表來完成。而這兩張表起著映射的作用，分別是“actiongroup”表（以下簡稱“權(quán)限

映射表"）和"mastergroup”表（以下簡稱“人員映射表”），前者映射了權(quán)限表與管理組表之間的交互。后者映射了人員表與管理組表之間的交互。如下圖：加除新啊除-超級(jí)曾理員瘠加-管理員IWJ除-管理員更新-一船用戶加除新啊除-超級(jí)曾理員瘠加-管理員IWJ除-管理員更新-一船用戶超級(jí)骨理員骨理員一媚月戶“人員映射'表”使“人員表和.'管理用表”之間得到了交瓦三四五指率王另外，還需要一張表來控制系統(tǒng)運(yùn)行時(shí)左側(cè)菜單中的權(quán)限分欄，也就是"權(quán)限分欄表”，如下圖：ac梃限轟加售添加-超級(jí)警理員協(xié)除-超級(jí)管理豆添加-管理員刪除-管理員ac梃限轟加售添加-超級(jí)警理員協(xié)除-超級(jí)管理豆添加-管理員刪除-管理員更新-一瞿月門超級(jí)骨理員管理員一媚月月三四五

張季王根據(jù)上面的分析，我們進(jìn)行數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)，如下圖：點(diǎn)擊這里查看權(quán)限管理系統(tǒng)數(shù)據(jù)表字段設(shè)計(jì)k"、actionactionidAactiurLTL：diTie=actiorLCulujrii—actiunMasterrL：diiiepasewordbdatetruen：diTiesexbirthdaydeptpueitiunpuek"、actionactionidAactiurLTL：diTie=actiorLCulujrii—actiunMaster為了能夠進(jìn)行良好的分析，我們將數(shù)據(jù)庫結(jié)構(gòu)圖拆分開來，三張實(shí)體表的作用已經(jīng)很清晰，現(xiàn)在我們來看一下兩張映射表的作用。一權(quán)限映射表如下圖：首先，我們來了解一下權(quán)限映射表與管理組表以及權(quán)限表之間的字段關(guān)聯(lián)。actSiES^Lq覲腰慰器M^actioiud:acti口nnajrieactiunculuirirLidviewmudeidI：：?：tiufijmasteridmasterrL：diriecreatedategrEpnaiTiegi-uiipinfumasteridmasterrL：=iiTiecreatedate看圖中的紅圈，先看gorupid字段相關(guān)聯(lián)，這種關(guān)聯(lián)方式在實(shí)際數(shù)據(jù)庫中的表現(xiàn)稿表iongro^7中的甄據(jù)，位置是"sqln'^j表^groupMaiiager?中的數(shù)抿idactiuilDupidII_Eroupid]|i：iuprL：=ijrie._1eetup1Ud超級(jí)管理員2addiL酬group1_2管理員;3adilrLHWgi_uup_ex13一般用戶-_4setgroiipirLfu1T|-5eetgi_uiipin￡n_ii1!k6sh+groupirLtu_ei1口Tdelgruiip_ex]如圖中所示管理組表中"超級(jí)管理員”的groupid為1那么權(quán)限映射表中g(shù)roupid為1的權(quán)限也就是"超級(jí)管理員”所擁有的權(quán)限。使用groupid字段關(guān)聯(lián)，是為了查到一個(gè)管理組能夠執(zhí)行的權(quán)限有哪些。但這些權(quán)限的詳細(xì)信息卻是action字段關(guān)聯(lián)所查詢到的。action字段相關(guān)聯(lián)在數(shù)據(jù)庫中的表現(xiàn)如下圖：己）中的條危是*表ongro^^-中的數(shù)據(jù),actioriidactiuriTL：=iiTihaet.iDu1idlauti-Il11枳限初始化安裝產(chǎn)tup、1」^etup2添加管理組adiirLewgi-oup:addn已胃STQUp13添加管理蛆執(zhí)行adilrLHWgi-uupexC3JadilrLewgi-oupex14設(shè)置管理組權(quán)限EetgruiipirLfi：!SHtEi-uupirLfu15設(shè)置管理組權(quán)限籀eetgi_uupin￡a_ins[EetEi-uiipinfu_inl6設(shè)置管理組權(quán)限日shtgroupinfu_hx?6EetKi-oijpin￡uex1—7冊］除管理組垃?lgrtiiip_EKJ—71梃e]_gKijUp_EXJ通過這種關(guān)聯(lián)，才查詢到權(quán)限映射表之中那些權(quán)限的詳細(xì)信息。綜合起來，我們就知道了一個(gè)管理組可以執(zhí)行的權(quán)限有哪些，以及這些權(quán)限的詳細(xì)信息是什么?；蛟S你會(huì)問，為什么不使用actionid字段相關(guān)聯(lián)呢？因?yàn)椋簷?quán)限表中的id字段在經(jīng)過多次的數(shù)據(jù)庫操作之后可能會(huì)發(fā)生更改。權(quán)限映射表中僅僅記錄著一個(gè)管理組可以執(zhí)行的權(quán)限。..一旦權(quán)限表中的id更改，那么權(quán)限映射表中的記錄也就更改了。..一個(gè)管理組可以執(zhí)行的權(quán)限勢必將出錯(cuò)，這是非常不希望的。.考慮到上面的情況，所以應(yīng)該使用action字段相關(guān)聯(lián)，因?yàn)椋?在權(quán)限表中，id可能發(fā)生變化，而action字段卻是在任何情況下也不可能發(fā)生變化的。..權(quán)限映射表中記錄的action字段也就不會(huì)變。..一個(gè)管理組可以執(zhí)行的權(quán)限就不會(huì)出錯(cuò)了。.二人員映射表如下圖：

我們來了解_下人員映射表與管理組表以及人員表之間的字段關(guān)聯(lián)，如下圖：看圖中的紅圈部分，先看groupid字段關(guān)聯(lián)，這種關(guān)聯(lián)方式在數(shù)據(jù)庫中的表現(xiàn)如下圖：如圖，"超級(jí)管理員"組的groupid為1,我們再看人員映射表,admin屬于超級(jí)管理員組，而administrator屬于超級(jí)管理員組，同時(shí)也屬于管理員組。使用這種關(guān)聯(lián)方式，是為了查到一個(gè)管理組中的人員有誰。和上面一樣，人員的詳細(xì)信息是靠id字段（人員映射表中是masterid字段）關(guān)聯(lián)查詢到的。

id字段（人員映射表中是masterid字段）關(guān)聯(lián)表現(xiàn)在數(shù)據(jù)庫中的形式如下圖：一個(gè)人員可能同時(shí)屬于多個(gè)"管理組"，如圖中，administrator就同時(shí)屬于兩個(gè)"管理組"。所以，在人員映射表中關(guān)于administrator的記錄就會(huì)是兩條。這種關(guān)聯(lián)方式才查詢到管理組中人員的詳細(xì)信息有哪些。綜合起來，才可以知道-個(gè)管理組中的人員有誰，以及這個(gè)人員的詳細(xì)信息。再結(jié)合上面談到的權(quán)限表和權(quán)限映射表，就實(shí)現(xiàn)了需求中的"組”操作，如下圖：其實(shí)，管理組表中僅僅記錄著組的基本信息，如名稱，組id等等。至于一個(gè)組中人員的詳細(xì)信息，以及該組能夠執(zhí)行的權(quán)限的詳細(xì)信息，都記錄在人員表和權(quán)限表中。兩張映射表才真正記錄著一個(gè)組有哪些人員，能夠執(zhí)行哪些權(quán)限。通過兩張映射表的銜接，三張實(shí)體表之間的交互才得以實(shí)現(xiàn)，從而完成了需求中提到的“組”操作。我們再來看一下權(quán)限分欄表與權(quán)限表之間的交互。這兩張表之間的字段關(guān)聯(lián)如下圖：兩張表使用了actioncolumnid字段相關(guān)聯(lián)，這種關(guān)聯(lián)方式在數(shù)據(jù)庫中的表現(xiàn)如下圖：如圖所示，通過這種關(guān)聯(lián)方式，我們可以非常清晰的看至權(quán)限表中的權(quán)限屬于哪個(gè)分欄。現(xiàn)在，數(shù)據(jù)庫結(jié)構(gòu)已經(jīng)很清晰了，分配權(quán)限的功能以及"組'’操作都已經(jīng)實(shí)現(xiàn)。下面我們再來分析一下需求中提到的關(guān)于權(quán)限管理系統(tǒng)的重用性問題。為什么使用這種數(shù)據(jù)庫設(shè)計(jì)方式搭建起來的系統(tǒng)可以重用呢？?三張實(shí)體表中記錄著系統(tǒng)中的三個(gè)決定性元素。"權(quán)限"，"組'’和"人”。而這三種元素可以任意添加，彼此之間不受影響。無論是那種類型的業(yè)務(wù)系統(tǒng)，這三個(gè)決定性元素是不會(huì)變的，也就意味著結(jié)構(gòu)上不會(huì)變，而變的僅僅是數(shù)據(jù)。??兩張映射表中記錄著三個(gè)元素之間的關(guān)系。但這些關(guān)系完全是人為創(chuàng)建的，需要變化的時(shí)候，只是對(duì)數(shù)據(jù)庫中的記錄進(jìn)行操作，無需改動(dòng)結(jié)構(gòu)。??權(quán)限分欄表中記錄著系統(tǒng)使用時(shí)顯示的分欄。無論是要添加分欄，修改分欄還是減少分欄，也只不過是操作記錄而已。?綜上所述，這樣設(shè)計(jì)數(shù)據(jù)庫，系統(tǒng)是完全可以重用的，并且經(jīng)受得住"變更”考驗(yàn)的。總結(jié)：此套系統(tǒng)的重點(diǎn)在于，三張實(shí)體表牢牢地抓住了系統(tǒng)的核心成分，而兩張映射表完美地映射出三張實(shí)體表之間的交互。其難點(diǎn)在于，理解映射表的工作，它記錄著關(guān)系，并且實(shí)現(xiàn)了"組"操作的概念。而系統(tǒng)總體的設(shè)計(jì)是本著可以在不同的MIS系統(tǒng)中"重用”來滿足不同系統(tǒng)的功能權(quán)限設(shè)置。附錄：權(quán)限管理系統(tǒng)數(shù)據(jù)表的字段設(shè)計(jì)下面我們來看看權(quán)限管理系統(tǒng)的數(shù)據(jù)庫表設(shè)計(jì)，共分為六張表，如下圖：action表：1action:表字段名稱數(shù)據(jù)類型說明形actioriidactii：iriTL：diTie自動(dòng)編號(hào)文本自增長記動(dòng)作名稱=actiorLCulijirirLid數(shù)字動(dòng)作分"欄號(hào)〔映射actioneulijiriri^)_action文本動(dòng)作字符串viewmode史本是舌可見action表中記錄著系統(tǒng)中所有的動(dòng)作，以及動(dòng)作相關(guān)描述。actioncolumn表：actioncolumn表中記錄著動(dòng)作的分欄，系統(tǒng)運(yùn)行時(shí)，左側(cè)菜單欄提供了幾塊不同的功能，每一塊就是一個(gè)分欄，每添加一個(gè)分欄，該表中的記錄就會(huì)增加一條，相對(duì)應(yīng)的，左側(cè)菜單欄中也會(huì)新增機(jī)一個(gè)欄。actiongroup表：_]actiongroup:表字段名稱數(shù)據(jù)類型說明嘔id數(shù)字自增長詛actiun數(shù)字動(dòng)作名稱（映射到action^）groupid數(shù)字動(dòng)作所屈組id（映射§Jmastergroup表）masterid數(shù)字創(chuàng)建者idmastHrrL：djriH文本創(chuàng)建者名稱createdate日期/■時(shí)間創(chuàng)建時(shí)間actiongroup表記錄著動(dòng)作所在的組。groupmanager表：:_JgroupManager:表匚1回囪字段名稱r數(shù)據(jù)類型說明M,揪groupid數(shù)字自增長2gri：iiiprL：dirie數(shù)字管理組名稱:groiipirLfu文本管理組信息masterid數(shù)字創(chuàng)建者日masterrL：iiTie文本創(chuàng)建者名稱Pcreatedate日期/時(shí)間組創(chuàng)建時(shí)間1groupmanager表記錄著管理組的相關(guān)信息，每添加一個(gè)管理組，這里的記錄就會(huì)增加一條。mastergroup表：

1Mastergroup:表4口回?字段名稱數(shù)據(jù)類型A很id數(shù)字自增長Wmasterid數(shù)字管理員id（映射到master表）irL：dirie文本管理員名稱grEpid數(shù)字管理組id〔映射到group表）masteri?i2數(shù)字修改者記masterrL：dirie文本修改者名稱ereatedate日期/時(shí)間修改時(shí)間mastergroup表記錄著管理員所在的管理組，由于一名管理員可能同同時(shí)屬于多個(gè)組，所以該表中關(guān)于某一名管理員的記錄可能有多條。master表：r_]Master:表字段名稱數(shù)據(jù)類型說明I入砂id數(shù)字自增長日nam已文本管理員名稱paseword數(shù)字管理員密碼bdate日期/