权限系统(RBAC)的数据模型设计

前言:
  RBAC是Role-Based Access Control的缩写, 它几乎成为权限系统的数据模型的选择标配.
  之前写个两篇关于权限系统的文章, 主要涉及如何在应用中实现权限控制, 对权限系统本身的数据模型未着水墨. 权限系统的设计到现在为止, 非常的成熟, 而且网上的资料大而全. 比如这篇博文: 权限系统与RBAC模型概述, 其基本就涵盖了各类RBAC的权限数据模型的设计, 可根据小/中/大的业务场景进行定制.
  本文结合自己的业务场景, 介绍一个小型的后台管理系统的权限系统(RBAC)的数据模型, 权做笔记, ^_^.

相关系列文章:
  1. springmvc简单集成shiro 
  2. 类Shiro权限校验框架的设计和实现

设计目标:
  最简化RBAC的数据模型, 同时为了给系统添加一定的灵活度, 即可以单独给用户赋予某个特定权限.
  这边把权限定义为:

permission(权限) = resource(资源) + action(动作)

  对于资源(resource), 不在细分为页面(page)级别, 甚至到按钮(menu)级别. 资源更像一个具体的业务/功能的标记.
  对于动作(action), 可以简单分为read/write/update/delete.
  这样权限(permission)就很容易定义和理解, 比如功能: 查看投诉, 其对应permission为: complaint:read.
  role和user都相对独立, 即role没有继承和层次关系, 用户不再引入组group.
  这样的话, 将大大减少权限的设计, 避免在中小型业务后端, 进行过度设计, 导致工作量膨胀且没明显增量收益.
  为了系统一定的灵活度, 在单独引入user到permission的直接映射表, 用于扩展.

数据模型:
  对了小型的后台管理系统, 用户不多, 表可以采用单库单表, 总之尽量简单, 这边的表都保留id字段(主键自增)作为约定.
  作为最基础的RBAC表设计:
  权限系统(RBAC)的数据模型设计
  为了增加灵活性, 单独添加的用户到权限的双向映射表.
  权限系统(RBAC)的数据模型设计
  事实上, 如果业务规模真的不大, 且权限的粒度较粗, 完全退化为了用户/权限表模型, 也是可以完全满足需求的, 而且实现更快.
  这边结合了两种, 算是一个小复合模式.

后记:
  RBAC的权限确实很成熟, 不过还是那句老话, 纸上得来终觉浅, 绝知此事要躬行.
  本文权做个人笔记了.

上一篇:移动设备和SharePoint 2013 - 第5部分:自定义应用


下一篇:SharePoint 2013 Step by Step——使用自定义的List Template