SNF快速开发平台2019-权限管理模型简介-权限都在这里
1.1??? 權(quán)限的概念
權(quán)限是指為了保證職責(zé)的有效履行,任職者必須具備的,對(duì)某事項(xiàng)進(jìn)行決策的范圍和程度。它常常用“具有批準(zhǔn)……事項(xiàng)的權(quán)限”來進(jìn)行表達(dá)。例如,具有批準(zhǔn)預(yù)算外5000元以內(nèi)的禮品費(fèi)支出的權(quán)限。再有劃分了系統(tǒng)的職權(quán),不同的用戶擁有不同的職權(quán)劃分,在職權(quán)劃分的基礎(chǔ)上對(duì)職能范圍進(jìn)行了限制。
權(quán)限管理,一般指根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略,用戶可以訪問而且只能訪問自己被授權(quán)的資源,權(quán)限管理幾乎出現(xiàn)在任何系統(tǒng)里面,只要有用戶和密碼的系統(tǒng)。
1.2??? 使用權(quán)限管理的必要性
權(quán)限管理對(duì)于商業(yè)信息化是有很大的幫助,它賦予了分配權(quán)力的能力,讓您的工作分擔(dān)給所有人,從而讓更多的人參與到您的管理當(dāng)中。這樣的做法既可以提升工作效率還可以做到工作區(qū)域承擔(dān),讓應(yīng)該承擔(dān)管理責(zé)任的人參與管理,這是商業(yè)信息化必須要有的,也是信息化發(fā)展必然的結(jié)果。
1.3??? 模塊菜單是什么
模塊資源授權(quán)也稱菜單控制,由業(yè)務(wù)功能模塊列表和用戶菜單定制共同組成。每個(gè)用戶可以擁有自己的菜單,也可以直接采用角色缺省菜單(當(dāng)用戶同時(shí)充當(dāng)多個(gè)角色且權(quán)限重復(fù)時(shí),重復(fù)的權(quán)限僅一次有效)。
1.4??? 動(dòng)作按鈕是什么
動(dòng)作權(quán)限分配也叫對(duì)象控制,對(duì)象是指應(yīng)用系統(tǒng)窗口中的可視對(duì)象,如菜單項(xiàng)、按鈕、下拉列表框、操作事務(wù)等。
控制動(dòng)作是通過角色與用戶授權(quán)來實(shí)現(xiàn)的。主要是對(duì)象屬性的控制(使能、禁止,可視、屏蔽)。
1.5??? 記錄級(jí)權(quán)限(數(shù)據(jù)權(quán)限)是什么
記錄級(jí)權(quán)限控制:簡(jiǎn)單說就是一種檔案中有很多數(shù)據(jù),而不同的人員能夠看到不同的檔案,也就是說一部分?jǐn)?shù)據(jù)檔案只有一部分人看到,另外一部分檔案只有另外一部分人看到。舉個(gè)栗子:像客戶檔案,在一家公司中,有很多銷售助理,而不同的銷售助理只管理各自的客戶,別的助理的客戶我不需要看到和維護(hù),故系統(tǒng)中控制記錄級(jí)權(quán)限—客戶檔案即可。
在我們的平臺(tái)上有兩種記錄級(jí)權(quán)限控制:
1、?????? 通過分級(jí)管理能控制管理者管理的人員,如職能、臨時(shí)組織、師傅管徒弟等場(chǎng)景。在每個(gè)業(yè)務(wù)表內(nèi)規(guī)范都有創(chuàng)建人、修改人可以控制能看到哪些人的數(shù)據(jù)。
2、?????? 可以直接通過記錄級(jí)權(quán)限配置,人員直接能訪問的數(shù)據(jù),如金額>1000元、部門=當(dāng)前人的部門等。
?
1.6??? 字段級(jí)權(quán)限是什么
字段級(jí)權(quán)限控制:還是以客戶檔案為例,當(dāng)一個(gè)客戶檔案有多個(gè)人維護(hù)或者一個(gè)客戶檔案我們要控制不同的人看到這個(gè)客戶檔案中具體的信息字段不同,我們就需要勾選字段級(jí)權(quán)限控制了。
1.7??? 權(quán)限主體的分類
權(quán)限系統(tǒng)中的權(quán)限三元組概念,即Who(主體),What(資源),How(操作),這樣構(gòu)成了權(quán)限三元組,不管你的權(quán)限系統(tǒng)多么的復(fù)雜,其實(shí)核心都是這三個(gè)。
概念:
Who:權(quán)限的擁有者或主體(Principal、User、Group、Role、Actor等等)
What:權(quán)限針對(duì)的對(duì)象或資源(Resource、Class)。
How:具體的權(quán)限(Privilege,正向授權(quán)與負(fù)向授權(quán))。
Role:是角色,擁有一定數(shù)量的權(quán)限。
Operator:操作。表明對(duì)What的How操作。
上面介紹的是What、How,下面介紹一下Who。
1.7.1? 角色權(quán)限
角色,一定數(shù)量的權(quán)限的集合,是粗粒度和細(xì)粒度(業(yè)務(wù)邏輯)的接口。一個(gè)基于粗粒度控制的權(quán)限框架軟件,對(duì)外的接口應(yīng)該是角色,具體業(yè)務(wù)實(shí)現(xiàn)可以直接繼承或拓展豐富角色的內(nèi)容,角色不是如同用戶或組織的具體實(shí)體,它是接口概念,抽象的通稱。角色的繼承通過組織來體現(xiàn),所以不考慮角色的繼承關(guān)系。但是角色可以與相關(guān)的組織相關(guān)聯(lián),便于授權(quán)。
該權(quán)限模型基礎(chǔ)是RBAC模型。每個(gè)用戶擁有若干角色,每個(gè)角色擁有若干權(quán)限,構(gòu)成“用戶-角色-權(quán)限”的授權(quán)模型。本程序完成了RBAC3,最復(fù)雜也是最全面的RBAC模型,它在RBAC0的基礎(chǔ)上,將RBAC1和RBAC2中的優(yōu)化部分進(jìn)行了整合。
1.7.2? 用戶權(quán)限
用戶的權(quán)限是多方面的,有用戶直接配置的權(quán)限,用戶-權(quán)限。所歸屬角色的權(quán)限,用戶-角色-權(quán)限。還有所在組織權(quán)限,用戶-組織-權(quán)限。還包含崗位權(quán)限,用戶-組織-崗位-權(quán)限。最終是以權(quán)限來實(shí)現(xiàn)對(duì)資源的訪問控制。
1.7.3? 組織機(jī)構(gòu)權(quán)限
組織,權(quán)限分配的單位與載體,直接映射組織關(guān)系。權(quán)限不考慮分配給特定的用戶。組織可以包含用戶,組織內(nèi)用戶繼承組織的權(quán)限。組織要實(shí)現(xiàn)繼承。即在創(chuàng)建時(shí)必須要指定該組織的父級(jí)組織是什么組織。在粗粒度控制上,可以認(rèn)為,只要某用戶直接或者間接的屬于某個(gè)組織那么它就具備這個(gè)組織的所有操作許可。細(xì)粒度控制上,在業(yè)務(wù)邏輯的判斷中,用戶僅應(yīng)關(guān)注其直接屬于的組織。
1.7.4? 崗位權(quán)限
識(shí)別用戶的主要身份。一個(gè)人可能身兼多職(多個(gè)角色),但是他的主要職能是固定的,那怎么告訴系統(tǒng)用戶的主要職能是什么呢?答案就是:通過崗位!拿小馬哥舉例:小馬哥身兼經(jīng)理和財(cái)務(wù)兩種身份,但他的本職工作是“經(jīng)理”,因此,他的系統(tǒng)崗位應(yīng)該“經(jīng)理”。當(dāng)他登錄時(shí),系統(tǒng)會(huì)識(shí)別他的身份為“經(jīng)理”,只不過這個(gè)“經(jīng)理”剛好兼具了其他崗位的職能而已;
通過“組織-崗位”關(guān)聯(lián),快速甄別用戶崗位。公司在不斷地發(fā)展的過程中,系統(tǒng)的用戶角色也會(huì)不斷增加,當(dāng)角色達(dá)到一定數(shù)量以后,管理員每新增一個(gè)用戶都要花相當(dāng)?shù)臅r(shí)間去尋找角色。引入崗位后,可將組織和崗位、崗位和角色提前進(jìn)行關(guān)聯(lián),配置賬號(hào)時(shí),管理員只要選定組織,系統(tǒng)就給出與該組織關(guān)聯(lián)的崗位,而這些崗位,又是提前關(guān)聯(lián)好角色的,選擇起來,既方便又高效!
1.8??? 分級(jí)授權(quán)
一、假設(shè)一個(gè)場(chǎng)景:一個(gè)業(yè)務(wù)系統(tǒng),用戶為國家環(huán)保部、省級(jí)環(huán)保局、地市環(huán)保局 三級(jí);如果統(tǒng)一由國家環(huán)保部維護(hù)所有的部門、用戶信息,工作量太大,
且環(huán)保部的系統(tǒng)管理員無法詳細(xì)了解省級(jí)、地市的人員信息、角色信息,根本無從維護(hù)。
所以需要分級(jí)管理,即針對(duì)不同組織(部門)設(shè)置管理員,每個(gè)管理員僅維護(hù)本組織的人員、角色信息,如
1、國家環(huán)保部的管理員僅維護(hù)部里的部門、人員、角色
2、北京市的管理員僅維護(hù)北京市環(huán)保局的部門、人員、角色
3、河北省的管理員僅維護(hù)河北省的部門、人員、角色
4、石家莊市的管理員僅維護(hù)石家莊市的部門、人員、角色
當(dāng)然還有化妝品、藥品、零售、快遞、建筑等行業(yè)也需要分級(jí)管理。
二、分級(jí)權(quán)限管理模型
當(dāng)前企業(yè)管理在運(yùn)行中遇到的主要問題是職責(zé)明確,分級(jí)授權(quán)管理模式能夠明確各級(jí)管理者的權(quán)限和職責(zé)。
管理模式主要包括用戶-角色分配管理、角色-權(quán)限分配管理和角色-角色分配管理,管理的范圍依賴于角色的繼承關(guān)系。在分層管理模式中引入了用戶和權(quán)限的概念,構(gòu)造組織結(jié)構(gòu),重新定義角色和用戶,有效解決管理權(quán)限的分配問題。
三、開啟和不啟用分級(jí)授權(quán)分級(jí)管理
在大型組織中分級(jí)授權(quán)的管理模式能很好的把各個(gè)級(jí)別管理人員的權(quán)利和責(zé)任都明確的展現(xiàn)出來,而且方便了人員的管理。
但分級(jí)授權(quán)分級(jí)管理卻不使用中小型公司,過于繁瑣,浪費(fèi)大量的管理成本。所以本系統(tǒng)可根據(jù)您的實(shí)際情況進(jìn)行配置。
分級(jí)管理在程序中到底有什么不同呢?
用戶的管理權(quán)限是不同的,不啟用時(shí)用戶管理權(quán)限無限制(權(quán)限范圍是當(dāng)前公司的所有管理權(quán)限),啟用時(shí)用戶管理權(quán)限有限制(權(quán)限范圍是當(dāng)前用戶可管理的權(quán)限)。
下面是一個(gè)簡(jiǎn)單的圖例,簡(jiǎn)單闡述了啟用和不啟用的區(qū)別:
用戶A是X公司G部門擔(dān)任開發(fā)角色。
?
其它權(quán)限實(shí)踐系列文章:
1、角色、權(quán)限、賬戶的概念理解-非常全的理論講解權(quán)限控制?https://www.cnblogs.com/spring_wang/p/10954370.html
2、權(quán)限管理模型簡(jiǎn)介-權(quán)限都在這里??https://www.cnblogs.com/spring_wang/p/10983935.html
3、權(quán)限管理模型實(shí)踐-權(quán)限都在這里?https://www.cnblogs.com/spring_wang/p/10983969.html
4、權(quán)限管理模型-平臺(tái)服務(wù)(多平臺(tái)\多組織\SAAS\多系統(tǒng))?https://www.cnblogs.com/spring_wang/p/10983991.html
5、權(quán)限管理模型-記錄級(jí)-字段級(jí)權(quán)限實(shí)踐?https://www.cnblogs.com/spring_wang/p/10983999.html
6、用戶安全控制-權(quán)限管理模型實(shí)踐-權(quán)限都在這里?https://www.cnblogs.com/spring_wang/p/10983983.html
? ? ? ?7、SNF快速開發(fā)平臺(tái)成長(zhǎng)史V4.5-Spring.Net.Framework-SNF軟件開發(fā)機(jī)器人?https://www.cnblogs.com/spring_wang/p/6742014.html
8、Spring.Net.FrameworkV3.0 版本發(fā)布了,感謝大家的支持?https://www.cnblogs.com/spring_wang/p/4203293.html
?
轉(zhuǎn)載于:https://www.cnblogs.com/spring_wang/p/10983935.html
總結(jié)
以上是生活随笔為你收集整理的SNF快速开发平台2019-权限管理模型简介-权限都在这里的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: git 创建 本地 裸 仓库
- 下一篇: Leetcode 53 最大子串和