一个简易实用的web权限管理模块的应用与实现

    本文介绍一个简易实用的web权限管理模块的应用与实现。

    先介绍数据模型和应用界面，后继对实现细节做选择性阐述。

    数据表关系如下：

  

 

      该图标明了登陆用户、角色、部门（机构）、用户组、角色和模块功能之间的关系。为方便起见，所有表都只保留必要字段。

      在本系统设计中，如下概念有着相对特殊的含义。

      一、用户(user)： 系统的使用者。

      二、部门(org)：体现了用户的行政关系，

      三、组(group) ：是某相同职能的用户的集合，可以和用户一样与角色产生关联。设置组的目的是为了方便用户的角色分配，减少用户与角色的直接对应关系。用户的角色可以是其组角色和其直接分配的角色之合集。限于作者的时间和精力，组功能在该系统中没有具体的实现。
      四、角色(role)：角色对应着某些功能(function)的集合，被分配一个角色意味着有权执行这些功能。角色表中的字段"functions"记录相关的功能id,id之间用逗号隔开。

      五、功能(function)：系统的一个或者多个执行准入。

      那么如何表现“功能”以最终实现控制用户的每一个细微动作呢？假如不特定于某种架构，可以这么设计该表字段：

CREATE TABLE  `m2_function` (
  `FUNCTION_ID` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `NAME` varchar(50) NOT NULL,
  `FUNC_TREE_ID` int(10) unsigned NOT NULL,
  `RESOURCE` varchar(100) NOT NULL,
  `SUFFIX` varchar(50) NOT NULL,
  `DESCRIPTION` varchar(100) NOT NULL,
  `PARAMS` varchar(45) NOT NULL,
  PRIMARY KEY (`FUNCTION_ID`)
)  DEFAULT CHARSET=utf8;

    假定有三个web访问路径
  http://127.0.0.1:8080/app/sys/user.jsp?action=index&userid=1203 
  http://127.0.0.1:8080/app/sys/user.yuetong?action=add
  http://127.0.0.1:8080/app/sys/user.yuetong?action=update&userid=1203
     这三个访问点被人为的划分为两个功能准入（当然亦可以是一个或者三个），见下图     

   

     由此可知，“功能”是衡量用户准入的最小刻度。在用户访问某个地址的时候，我们可以通过解析URL对比他拥有的“功能”权限来实现权限管理。

     借助于某些架构或者设计思路，可以避免用户直接访问JSP页面，甚至全系统的访问地址都使用同一后缀，这种情况下可以省去SUFFIX字段。　本系统就是这种情况（JSP页面置于WEB-INF下，采用struts2架构）。

     六、功能模块树（function tree）：功能的目录组织，起分类的作用。在为角色设定功能的时候，用户界面可以利用带选择框的js树。而这颗js树是后台的功能树表以及功能表的联合表现形式。功能模块树可以方便的与菜单树建立映射关系，限于作者的时间和精力，该系统并未实现菜单树。
    下面从实际应用入手做直观的介绍：
     用超级管理员帐号YT000登陆（该帐号拥有全部的权限，帐号信息应该预先写入数据库或者以配置文件方式放到类路径下）：
     首先是机构管理部分，这里可以编辑某个公司或者单位的组织结构：

    

   然后进入用户管理部分，会有一个用户列表：

   可以编辑用户的属性，设置其所属机构：

 

 

   还可以为用户设定多个角色：

   接着，再看看角色的列表：

   可以为角色设定功能。该角色设定树的生成，在后继文章中会有介绍。

 

   最后，在系统资源部分，可以进行功能模块树的编辑（和机构树的编辑一样）

 

   点击编辑详细功能，可以为选中的结点设置具体功能：

 

 

      配置妥当以后，当我们以一个普通用户登录，执行某个操作的时候，如果没有权限，系统会做出提示。关于用户的权限验证，后继会有介绍。

 

     相关阐述请关注后继文章。

 

 

 

 

 

评论

127 楼 lvf2002 2014-10-16  

求完整源码，谢谢！chxue2016@126.com

126 楼 woxiqingxian 2014-10-04  

感觉很不错啊！！求整个工程项目！！一起学习！谢谢……455045303@qq.com

125 楼 12806474 2013-06-06  

求整个项目的源码：oswin_jiang@163.com

124 楼 12806474 2013-06-06  

求资源：oswin_jiang@163.com

123 楼 Anndys99 2013-06-04  

大哥，可否把整个项目的源码发我一份，正在学习权限控制这一块.谢谢 !  
Email：Anndys@yeah.net

122 楼 yongfahuang 2012-10-25  

楼主能把全部工程代码发给我一份吗，目前正在研究权限这一块，谢谢！邮箱：yongfahuang@126.com

121 楼 KJ 2012-05-10  

老大，能否把整个工程源码发一份呢，包括UI，谢谢！krisibm@163.com

120 楼 chenjunt3 2012-02-09  

老大，能否把整个工程源码发一份呢，包括UI，谢谢！chenjunt3@163.com

119 楼 rrryyy 2009-09-07  

不错。继续关注

118 楼 lr1213 2009-09-07  

不错，学习下！

117 楼 migrant423 2009-03-13  

不错很好的贴子

116 楼 java_moon 2009-03-12  

什么玩艺                     

115 楼 clasp 2009-02-19  

呵！具有普遍性，没看出LZ的立新之处

114 楼 yusen8646 2009-02-19  

谢谢了，收藏了

113 楼 fengyifei11228 2009-02-19  

楼主写的很不错，学习了

hexq1983 写道

用户对角色组，角色组对权限，用户不能对权限，不然就乱套了

用户组怎么不能对权限？
如果一个系统需要细粒度的权限管理（各个用户之间权限都不一样，最细到编辑和查看详细），那么如果没有用户对权限，该怎么实现，难道只能通过角色去实现，这样不是很好吧！

laochake 写道

如果部门的人员比较多，建议部门与组之间、部门与角色之间最好也要建立多对多关联

这样，用户的权限就是以下的并集：

用户-->角色-->功能
用户-->组-->角色-->功能
用户-->部门-->角色-->功能
用户-->部门-->组-->角色-->功能

我们可以看出，在权限配置中，最重要的其实就是用户和功能之间的关联，无论我们怎么设计，也绕不出这个关联（无论中间加了多少个权限控制的机制）。

不过，我们自己加上了部门，组，角色这样的权限控制机制，那么我们在分配权限会有很多方便（不用我们去管理用户和功能之间的关系），就像OS中的用户组；但是这样的话，让我们对于细粒度的权限管理（各个用户之间权限都不一样，最细到编辑和查看详细）可能会有点困难

可能我接触权限开始就是从细粒度的权限管理开始的，所以我对细粒度的权限管理比较情有独钟，呵呵

我一般是把定义一个用户功能表，用于保存用户和功能之间的关系，然后建立角色表，同时建立角色和功能，角色和用户之间的关系表。

新建用户时如果是同一个角色 的用户，那么可以通过角色去赋予权限，但是，当用户具有特定功能，或者特定功能只能给一个或几个用户时，就可以不用新建角色，可以直接把相应功能赋予用户就可以了

112 楼 米客一族 2009-02-16  

学习了

111 楼 wangweibo2005 2009-02-15  

下载下来的,怎么没有页面啊

110 楼 winstonczc 2009-02-13  

之前自己做过的系统的权限设计，还有看过的国外开源项目的权限设计，感觉通用性方面都不太好，权限设计还是要结合实际项目需要

109 楼 setnewgod 2009-01-23  

先谢谢了，不错的东西，作者要是有更多分享就好了。

108 楼 rommelma 2009-01-21  

请问 WEB界面用的是什么框架，能不能提供。谢谢