下边我们将以几个案例来,帮助理解权限系统的概念和设计,这些案例包括:
- linux操作系统中的权限系统
- 微信朋友圈中的权限
- django中的权限系统
近期工作中遇到一个系统设计中关于权限的复杂问题(层级组织),本文是我自己学习权限系统以及对此思考的一个小结
linux中的权限系统
关于权限系统,我们以linux为切入点,它为大多技术人员所熟悉。我们重点关注其中的概念,而对实现细节不做深究
linux是个多用户操作系统,这每个用户有自己的工作空间(home目录)。就好比多人住在一套公寓里,各自有自己的房间。
在linux中 一切皆文件 ,linux鼓励使用文本文件,人和机器能理解文本文件,成为人和机器进行交流的最好途径。在linux中权限问题往往最终会落到文件的权限上。
如果我们把文件视为一种资源。那么我们会发现 权限往往围绕这些概念:
- 用户
- 用户组(群组)
- 资源
- 权限类型
如果你对上述概念不大熟悉,推荐阅读鸟哥的 Linux 的文件权限与目录配置
上班几个概念中,鸟哥对用户组的解释很棒(意义和功能),推荐一读
总结来说,Linux一般将文件可存取的身份分为三个类别,分别是 owner/group/others,且三种身份各有 read/write/execute 权限
我们举个本地文件的例子
我们在此引用鸟哥文章里的这张图
上述信息表示:文件 /tmp/test.txt 是文件( - ),文件拥有者(wwj)的权限为 rw- (读写),文件拥有群组(wheel)的权限为 r-- (读),其他人的权限为 r-- (读)
如果你想改变文件属性与权限,可以使用:
- chgrp :改变文件所属群组
- chown :改变文件拥有者
- chmod :改变文件的权限
有了群组/资源/用户这些概念,之后我们就可以这样表达权限了:
- A用户有资源B的可读权限(r)
- 群组X有资源Y的可读权限(r)
朋友圈中的分组与权限
在用户/群组/资源/权限类型的时间下,我们也很好理解微信朋友圈的分组功能了
你半夜回家发了一条: 今天大学聚会很开心 ,为了让没空到现场的同学也看到聚会情况,附上了聚会照片,却不想被诟病为 天天晒吃的 ,于是决定这条消息只对 大学同学组 可见,这样只有在 大学同学组(群组)里的同学(用户)才能看到(可读权限)聚会消息(资源)
RBAC
如果我进一步抽象,我们便总结出了基于角色的访问控制(Role-Based Access Control,RBAC)
Who对What进行How操作
我可以看到这种模式:
大学同学组里的同学(who)才能看到(how)聚会消息(what)
RBAC认为权限授权实际上是Who、What、How的问题
在RBAC模型中,who、what、how构成了访问权限三元组,也就是 Who对What进行How的操作 ,各个要素的含义如下:
- Who:权限的拥用者或主体(如User、Group、Role)
- What:权限针对的对象或资源(Resource)。
- How:具体的权限
特点
模型中概念与实际系统紧密对应。RBAC模型中的角色、用户和许可权等概念都是实际系统实际存在的实体,便于设计者建立现存的或待建系统的RBAC模型
分治的思路
- 我们要分割这些问题来讨论(分析的思路/分治)
- 用户与角色的指派
- 角色与权限的指派
- 为定义角色的继承 进行的角色与角色的指派。
上述这些活动都要求把用户和权限联系起来。多数情况下它们最好由不同的管理员或管理角色来做。对角色指派权限是典型的应用管理者的职责(类似元角色)
概念解释
- Group:用户组,权限分配的单位与载体。组可以包括组(以实现
权限的继承)(适合用来处理层级问题),也可以包含用户,组内用户继承组的权限。User与Group是多对多的关系。Group可以层次化,以满足不同层级权限控制的要求。 (漂亮解决了我的问题)- 部门Department或组织Organization,都可以对应到Group
- Role:Role和User关系的左右两边都是Many-to-Many关系,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,角色配置成其完成任务所需要的最小的权限集
- 许可表(PERMISSIONS)包括许可标识、许可名称、受控对象、操作标识。许可表给出了受控对象与操作算子的对应关系。*
其他笔记
- RBAC都是基于关系模型
- 资源是受控对象
- RBAC模型支持数据抽象原则和继承概念
- RBAC模型没有提供操作顺序控制机制
Django中的权限机制
这部分主要参考 Django权限机制的实现
如果你对Django熟悉(不熟悉的话参考你所用web框架的权限机制),可以把这部分理解为以Django为例,解释如何把权限概念用于web项目
在web应用中,权限机制能够约束用户行为,控制页面的显示内容(想想你的朋友圈和各种论坛的会员机制),也能使API更加安全和灵活(django-rest-framework中)
Django中用 user , group 和 permission 完成了权限机制(和linux很像),这些概念,我们在前文中阐述清楚了,这个权限机制是将属于model的某个permission赋予user或group,可以理解为全局的权限(ps:如果你需要更细分的权限机制,可以试试: django-guardian )
Django的权限项
Django用permission(如前文说的许可表)对象存储权限项(How),每个model默认都有三个permission,即add model, change model和delete model,在admin中你可以看到,当然我们也可以手动添加其他权限项,不过值得注意的是权限是针对model的,而不是instance的!
为一个用户添加权限,既可以在view里做(编码),也可以由管理员(Role)在admin里做(不需要编码)
在模板中使用
当前登录用户的权限存储在模板变量 {{ perms }} 中
相关推荐
该文档为通用权限设计方案,其中通过分析用户、组、角色、权限等四个对象之间的关系具体描述权限设计的大致思路。
主要功能有:权限管理、角色管理、部门管理、用户管理、公司管理、模块管理、系统设置。适用 OA、财务、人力等办公软件系统 的二次开发,以关键字(Key)的方式来定义系统的权限,使系统权限分配更加贴合企业需求。...
• 不同职责的人员,对于系统操作的权限应该是不同的。可以对“组”进行权限分配。 • 对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中...
通用权限系统设计通用权限系统设计通用权限系统设计通用权限系统设计通用权限系统设计通用权限系统设计通用权限系统设计通用权限系统设计通用权限系统设计
权限系统设计文档 基于角色的用户权限设计系统
通用角色权限管理系统设计 因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。 权限系统一直以来是我们应用系统不可缺少的一个部分,若每...
基于DDD领域驱动设计通用后台权限系统开发,响应式布局BootStrap,精美后台模板加代码,可更换皮肤。
用户权限管理系统,是PPT,可以了解用户权限管理系统的设计。仅供学习。
8个权限管理系统源码合集【含数据库】: Jaoso新闻文章发布系统final+Struts+Spring+Hibernate.rar java web 系统权限设计 源码.rar JAVA权限管理系统2.rar Java酒店管理系统.rar ...权限系统_oops.zip
不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时...
权限系统的核心由以下三部分构成:1.创造权限,2.分配权限,3.使用权限,然后,系统各部分的主要参与者对照如下:1.创造权限 - Creator创造,2.分配权限 - Administrator 分配,3.使用权限 - User:
基于部门和角色的权限管理系统的设计与实现的精品论文
花了一天时间研究一篇网上关于OA系统权限设计的文档,按照文档自己手动创建了数据库,附件包括文档跟数据库,有想要了解的同学可以下载!tb_User:用户信息基本表; tb_Department:部门表; tb_Company:公司表; ...
OA系统权限管理设计方案 了解OA权限设计模式
权限管理系统的毕业设计开题报告 权限管理系统的毕业设计开题报告 权限管理系统的毕业设计开题报告 权限管理系统的毕业设计开题报告
如果需要添加新的功能,程序员只需维护权限表并设计一个权限系统即可。该系统支持动态配置权限和角色之间的关联信息,以及用户和角色之间的关系。只需在数据库中配置权限信息,系统就可以动态地读取角色和权限信息,...
推荐系统规划,从用户角度,用户价值角度,推荐的产品设计和推荐系统价值
这是获取系统权限的相关工具和测试源码,可以在系统没有root的条件下,修改系统时间
一个通用的数据权限管理系统的设计,一个doc文档,大家看了自己研究吧~
权限系统设计,系统设计,用户权限 基于角色的用户权限系统设计