一、前言
隨著互聯(lián)網(wǎng)的快速發(fā)展,B端行業(yè)也逐漸崛起,很多企業(yè)管理中使用的軟件我們通常稱(chēng)其為B端管理系統(tǒng)���,而在B端系統(tǒng)中“權(quán)限管理”是必不可少的功能���,不同的系統(tǒng)中權(quán)限的應(yīng)用復(fù)雜程度不一樣���,都是根據(jù)實(shí)際產(chǎn)品以及需求情況而設(shè)置合理的權(quán)限����。而我們現(xiàn)在對(duì)于權(quán)限的設(shè)置基本上都是建立在RBAC權(quán)限模型上的、擴(kuò)展的����,下面我會(huì)通過(guò)介紹RBAC權(quán)限模型的概念以及結(jié)合實(shí)際業(yè)務(wù)情況列舉權(quán)限設(shè)置的應(yīng)用。
二�、什么是RBAC權(quán)限模型?
RBAC是Role-BasedAccess Control的英文縮寫(xiě)���,意思是基于角色的訪問(wèn)控制����。RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who����、What�、How的問(wèn)題。在RBAC模型中��,who��、what���、how構(gòu)成了訪問(wèn)權(quán)限三元組�,也就是“Who對(duì)What進(jìn)行How的操作,也就是“主體”對(duì)“客體”的操作�����。其中who是權(quán)限的擁有者或主體(例如:User����、Role),what是資源或?qū)ο螅≧esource����、Class)。
簡(jiǎn)單的理解其理念就是將“角色”這個(gè)概念賦予用戶(hù)���,在系統(tǒng)中用戶(hù)與權(quán)限之間通過(guò)角色進(jìn)行關(guān)聯(lián)�����,以這樣的方法來(lái)實(shí)現(xiàn)靈活配置�����。
RBAC其實(shí)是一種分析模型��,主要分為:基本模型RBAC0��、角色分層模型RBAC1����、角色限制模型RBAC2和統(tǒng)一模型RBAC3。
RBAC權(quán)限模型是基于角色的權(quán)限控制���。模型中有幾個(gè)關(guān)鍵的術(shù)語(yǔ):
-
用戶(hù):系統(tǒng)接口及訪問(wèn)的操作者
-
權(quán)限:能夠訪問(wèn)某接口或者做某操作的授權(quán)資格
-
角色:具有一類(lèi)相同操作權(quán)限的用戶(hù)的總稱(chēng)
1)RBAC0
RBAC0是RBAC權(quán)限模型的核心思想����,RBAC1�、RBAC2、RBAC3都是在RBAC0上進(jìn)行擴(kuò)展的��。RBAC0是由四部分構(gòu)成:用戶(hù)��、角色����、會(huì)話��、許可����。用戶(hù)和角色的含義很簡(jiǎn)單�,通過(guò)字面意思即可明白�����,會(huì)話:指用戶(hù)被賦予角色的過(guò)程��,稱(chēng)之為會(huì)話或者是說(shuō)激活角色���;許可: 就是角色擁有的權(quán)限(操作和和被控制的對(duì)象)�����,簡(jiǎn)單的說(shuō)就是用戶(hù)可使用的功能或者可查看的數(shù)據(jù)���。
用戶(hù)與角色是多對(duì)多的關(guān)系,用戶(hù)與會(huì)話是一對(duì)一的關(guān)系����,會(huì)話與角色是一對(duì)多的關(guān)系,角色與許可是多對(duì)多的關(guān)系��。
2)RBAC1
RBAC1是在RBAC0權(quán)限模型的基礎(chǔ)上����,在角色中加入了繼承的概念����,添加了繼承發(fā)的概念后�,角色就有了上下級(jí)或者等級(jí)關(guān)系。
舉例:集團(tuán)權(quán)責(zé)清單下包含的角色有:系統(tǒng)管理員��、總部權(quán)責(zé)管理員����、區(qū)域權(quán)責(zé)管理員、普通用戶(hù)�����,當(dāng)管理方式向下兼容時(shí)����,就可以采用RBAC1的繼承關(guān)系來(lái)實(shí)現(xiàn)權(quán)限的設(shè)置。上層角色擁有下層的所有角色的權(quán)限�,且上層角色可擁有額外的權(quán)限
3)RBAC2
RBAC2是在RBAC0權(quán)限模型的基礎(chǔ)上,在用戶(hù)和角色以及會(huì)話和角色之間分別加入了約束的概念(職責(zé)分離)��,職責(zé)分離指的是同一個(gè)人不能擁有兩種特定的權(quán)限(例如財(cái)務(wù)部的納入和支出�,或者運(yùn)動(dòng)員和裁判員等等)。
用戶(hù)和角色的約束有以下幾種形式:
-
互斥角色:同一個(gè)用戶(hù)在兩個(gè)互斥角色中只能選擇一個(gè)(也會(huì)存在一個(gè)用戶(hù)擁有多個(gè)角色情況����,但是需要通過(guò)切換用戶(hù)角色來(lái)實(shí)現(xiàn)對(duì)不同業(yè)務(wù)操作)
-
基數(shù)約束:一個(gè)用戶(hù)擁有的角色是有限的,一個(gè)角色擁有的許可也是有限的
-
先決條件約束:用戶(hù)想要獲得高級(jí)角色��,首先必須擁有低級(jí)角色
會(huì)話和角色之間的約束����,可以動(dòng)態(tài)的約束用戶(hù)擁有的角色,例如一個(gè)用戶(hù)可以擁有兩個(gè)角色���,但是運(yùn)行時(shí)只能激活一個(gè)角色���。
例如:iconfont和藍(lán)湖的用戶(hù)與角色就采用了約束的概念,超級(jí)管理員只允許只有一個(gè)
4)RBAC3
RBAC3是RBAC1與RBAC2的合集����,所以RBAC3包含繼承和約束。
二�����、為什么要引用RBAC權(quán)限模型����?
RBAC中具有角色的概念���,如果沒(méi)有角色這個(gè)概念,那么在系統(tǒng)中�����,每個(gè)用戶(hù)都需要單獨(dú)設(shè)置權(quán)限�,而系統(tǒng)中所涉及到的功能權(quán)限和數(shù)據(jù)權(quán)限都非常多,每個(gè)用戶(hù)都單獨(dú)設(shè)置權(quán)限對(duì)于維護(hù)權(quán)限的管理員來(lái)說(shuō)無(wú)疑是一件繁瑣且工作量巨大的任務(wù)����。
而引入角色這個(gè)概念后,我們只需要給系統(tǒng)設(shè)置不同的角色�,給角色賦予權(quán)限,再將用戶(hù)與角色關(guān)聯(lián)�����,這樣用戶(hù)所關(guān)聯(lián)的角色就直接擁有了該角色下的所有權(quán)限�����。
例如:用戶(hù)1~用戶(hù)8分別擁有以下權(quán)限�����,���,不同用戶(hù)具有相同權(quán)限的我用不同的顏色做了區(qū)分���,如下圖:
在沒(méi)有引入RBAC權(quán)限模型的情況下,用戶(hù)與權(quán)限的關(guān)系圖可采用下圖的楊叔叔展示��,每個(gè)用戶(hù)分別設(shè)置對(duì)應(yīng)的權(quán)限��,即便是具有相同權(quán)限的用戶(hù)也需要多次設(shè)置權(quán)限����。
引入RBAC權(quán)限模型及引入了角色的概念,根據(jù)上面表格的統(tǒng)計(jì)��,用戶(hù)1����、用戶(hù)3、用戶(hù)5���、用戶(hù)8擁有的權(quán)限相同��,用戶(hù)2�����、用戶(hù)6�、用戶(hù)7擁有相同的權(quán)限,用戶(hù)4是獨(dú)立的權(quán)限����,所以我們這里可以根據(jù)數(shù)據(jù)統(tǒng)計(jì),以及實(shí)際的需求情況�����,可以建立三個(gè)不同的角色���,角色A��、角色B����、角色C����,三個(gè)角色分別對(duì)應(yīng)三組用戶(hù)不同的權(quán)限����,如下圖所示:
對(duì)應(yīng)的上面的案例表格我們就可以調(diào)整為含有角色列的數(shù)據(jù)表��,這樣便可以清楚的知道每個(gè)用戶(hù)所對(duì)應(yīng)的角色及權(quán)限�����。
通過(guò)引用RBAC權(quán)限模型后�,對(duì)于系統(tǒng)中大量的用戶(hù)的權(quán)限設(shè)置可以更好的建立管理�,角色的引入讓具有相同權(quán)限的用戶(hù)可以統(tǒng)一關(guān)聯(lián)到相同的的角色中,這樣只需要在系統(tǒng)中設(shè)置一次角色的權(quán)限�,后續(xù)的用戶(hù)便可以直接關(guān)聯(lián)這些角色,這樣就省去了重復(fù)設(shè)置權(quán)限的過(guò)程���,對(duì)于大型平臺(tái)的應(yīng)用上�,用戶(hù)的數(shù)量成千上萬(wàn)����,這樣就可避免在設(shè)置權(quán)限這項(xiàng)工作上浪費(fèi)大量的時(shí)間。
三��、引入用戶(hù)組的概念
我們依舊拿上面表格案例舉例�����,雖然前面我們應(yīng)用的RBAC權(quán)限模型的概念,但是對(duì)于大量用戶(hù)擁有相同權(quán)限的用戶(hù)��,我們同樣的也需要對(duì)每個(gè)用戶(hù)設(shè)置對(duì)應(yīng)的角色�����,如果一個(gè)部門(mén)上萬(wàn)人�����,那么我們就需要給這個(gè)部門(mén)上萬(wàn)人分別設(shè)置角色�,而這上萬(wàn)其實(shí)是具有相同的權(quán)限的,如果直接采用基礎(chǔ)的RBAC權(quán)限模型的話����,那么面對(duì)這樣的情況,無(wú)疑也是具有一個(gè)龐大的重復(fù)的工作量����,并且也不利于后期用戶(hù)變更的維護(hù)管理,那么針對(duì)相同用戶(hù)具有相同的權(quán)限的情況����,我們便可以引入用戶(hù)組的概念�。
什么是用戶(hù)組呢����?用戶(hù)組:把具有相同角色的用戶(hù)進(jìn)行分類(lèi)。
上面我們的數(shù)據(jù)表格案例中的用戶(hù)1�����、用戶(hù)3���、用戶(hù)5、用戶(hù)8具有相同的角色A�����,用戶(hù)2���、用戶(hù)6����、用戶(hù)7也擁有相同的角色B����,那么我們就可以將這些具有相同角色的用戶(hù)建立用戶(hù)組的關(guān)系�,拿上面的案例����,我們分別對(duì)相同角色的用戶(hù)建立組關(guān)系,如下:
用戶(hù)1��、用戶(hù)3�、用戶(hù)5、用戶(hù)8→建立用戶(hù)組1
用戶(hù)2��、用戶(hù)6�����、用戶(hù)7→建立用戶(hù)組2
因?yàn)橛脩?hù)4只有一個(gè)用戶(hù)���,所以直接還是單獨(dú)建立用戶(hù)與角色的關(guān)系��,不需要建立用戶(hù)組�����,當(dāng)然盡管只有一個(gè)用戶(hù)也是可以建立用戶(hù)組的關(guān)系�,這樣有利于后期其他用戶(hù)與用于4具有相同的角色時(shí),就可以直接將其他用戶(hù)添加到這個(gè)用戶(hù)組下即可���,根據(jù)業(yè)務(wù)的實(shí)際情況而選擇適合的方案即可��。
通過(guò)案例表格的變化我們就可以直觀的看出權(quán)限設(shè)置變得清晰簡(jiǎn)潔了���,通過(guò)第用戶(hù)組賦予角色,可以減少大量的重復(fù)的工作�����,我們常見(jiàn)的企業(yè)組織��、部門(mén)下經(jīng)常會(huì)出現(xiàn)不同用戶(hù)具有相同角色的情況����,所以采用用戶(hù)組的方式�,便可以很好的解決這個(gè)問(wèn)題,給具有相同權(quán)限的用戶(hù)建立用戶(hù)組����,將用戶(hù)組關(guān)聯(lián)到對(duì)應(yīng)的角色下,此用戶(hù)組就擁有了此角色下的所有權(quán)限���,而用戶(hù)是屬于用戶(hù)組的��,所以用戶(hù)組下的所有用戶(hù)也就同樣的擁有了此角色下的所有權(quán)限����。一個(gè)用戶(hù)可以屬于多個(gè)用戶(hù)組,一個(gè)用戶(hù)組也可以包括多個(gè)用戶(hù)�����,所以用戶(hù)與用戶(hù)組是多對(duì)多的關(guān)系�。
四、引入權(quán)限組的概念
權(quán)限組與用戶(hù)組的原理差不多���,是將一些相對(duì)固定的功能或者權(quán)限建立組的關(guān)系�,然后再給此權(quán)限組賦予角色���,目前我所接觸的B端項(xiàng)目中使用權(quán)限組的概念的比較少��,可簡(jiǎn)單的看一下關(guān)系圖
四���、功能權(quán)限和數(shù)據(jù)權(quán)限
B端系統(tǒng)中一般產(chǎn)品的權(quán)限由頁(yè)面、操作和數(shù)據(jù)構(gòu)成�����。頁(yè)面與操作相互關(guān)聯(lián),必須擁有頁(yè)面權(quán)限�����,才能分配該頁(yè)面下對(duì)應(yīng)的操作權(quán)限���,數(shù)據(jù)可被增刪改查���。所以將權(quán)限管理分為功能權(quán)限管理和數(shù)據(jù)權(quán)限管理。
功能權(quán)限管理:指的是用戶(hù)可看到那些模塊�,能操作那些按鈕,因?yàn)槠髽I(yè)中的用戶(hù)擁有不同的角色��,擁有的職責(zé)也是不同的���。
數(shù)據(jù)權(quán)限管理:指的是用戶(hù)可看到哪些模塊的哪些數(shù)據(jù)。
例如:一個(gè)系統(tǒng)中包含多個(gè)權(quán)責(zé)清單(清單1����、清單2、清單3)����,系統(tǒng)管理員能對(duì)整個(gè)系統(tǒng)操作維護(hù)���,也就可以對(duì)系統(tǒng)中的所有清單都能操作(增、刪�、改、查)����;假如分配給總部權(quán)責(zé)管理員的是清單1,那么他將只能對(duì)清單1進(jìn)行操作(增�、改、查)��;普通用戶(hù)也許只有查看數(shù)據(jù)的權(quán)限����,沒(méi)有數(shù)據(jù)維操作的權(quán)限(查),這里的操作是系統(tǒng)中所有可點(diǎn)擊的按鈕權(quán)限操作,列舉的增刪改查只是最常見(jiàn)的幾種操作而已��。
五�����、實(shí)戰(zhàn)案例總結(jié)
我目前所做的項(xiàng)目是一個(gè)關(guān)于權(quán)責(zé)管理平臺(tái)的B端系統(tǒng)�����,關(guān)于系統(tǒng)中的權(quán)限需求我這里簡(jiǎn)單的介紹一下,并采用上面所總結(jié)的RBAC權(quán)限模型對(duì)實(shí)際業(yè)務(wù)需求進(jìn)行設(shè)計(jì)分析:
01:不同的區(qū)域管理員的權(quán)限各不相同(說(shuō)明會(huì)存在不同的用戶(hù)具有不同的權(quán)限����,那么我們就可以采用角色對(duì)其進(jìn)行規(guī)范)
02:有大量的用戶(hù)具有相同的權(quán)限(例如組織、部門(mén)等)(說(shuō)明存在相同權(quán)限的用戶(hù)�����,那么我們就可以采用用戶(hù)組的概念)
03:上級(jí)管理員擁有下級(jí)人員的所有權(quán)限(說(shuō)明存在繼承關(guān)系)
04:不同用戶(hù)所看到的數(shù)據(jù)和能編輯的數(shù)據(jù)不同��,一些機(jī)密性的數(shù)據(jù)只允許部分人員看或者編輯(說(shuō)明存在約束)
05:會(huì)存在臨時(shí)性的用戶(hù)(說(shuō)明需要支持新建新角色)
06:同一用戶(hù)會(huì)存在多個(gè)角色(多角色求合集或者切換用戶(hù)角色)
簡(jiǎn)單說(shuō)明一下�����,我所做這個(gè)項(xiàng)目的人員管理是在另外一個(gè)系統(tǒng)中管理的����,權(quán)責(zé)平臺(tái)只是調(diào)用另外一個(gè)平臺(tái)的組織結(jié)構(gòu)樹(shù)即可,所以權(quán)限設(shè)置模塊沒(méi)有做人員管理的模塊
根據(jù)上面對(duì)需求的分析�,整個(gè)權(quán)限管理模塊中我們需要建立用戶(hù)組管理模塊、功能角色管理模塊�����、業(yè)務(wù)(數(shù)據(jù))管理模塊���、權(quán)限設(shè)置模塊��,下面就對(duì)每個(gè)模塊做更細(xì)致的頁(yè)面展示設(shè)計(jì)分析
1)用戶(hù)組管理模塊
用戶(hù)組管理主要是對(duì)具有相同權(quán)限的用戶(hù)分類(lèi)建組�,所以頁(yè)面中我們需要有新建用戶(hù)組的功能���,每個(gè)用戶(hù)組下我們需要關(guān)聯(lián)對(duì)應(yīng)的組織��、部門(mén)��、崗位���、人員,讓這些具有相同權(quán)限的用戶(hù)在同一個(gè)用戶(hù)組下����,如下圖:
2)功能角色管理模塊
B端項(xiàng)目中一般會(huì)建立幾個(gè)默認(rèn)的角色是不支持用戶(hù)修改、刪除的����,例如最常見(jiàn)的系統(tǒng)管理員,而也會(huì)需要有其它角色的需求�����,所以此模塊需要支持用戶(hù)新建角色,功能角色是對(duì)大模塊的頁(yè)面和操作的權(quán)限設(shè)置��,操作權(quán)限的顆粒度可以細(xì)分到每個(gè)頁(yè)面的每一個(gè)按鈕的操作��,如下圖:
3)業(yè)務(wù)(數(shù)據(jù))角色管理模塊
業(yè)務(wù)角色是對(duì)頁(yè)面中的數(shù)據(jù)餓查看的權(quán)限設(shè)置����,而對(duì)于系統(tǒng)中的普通用戶(hù)查看系統(tǒng)的權(quán)限是常用不變的,所以我們考慮默認(rèn)有一個(gè)普通用戶(hù)的角色�,其它業(yè)務(wù)角色用戶(hù)根據(jù)實(shí)際需求情況自行建立即可,由于我們權(quán)責(zé)系統(tǒng)的特殊性�,我們需要滿足用戶(hù)對(duì)部分?jǐn)?shù)據(jù)可編輯且對(duì)部分?jǐn)?shù)據(jù)的字段可編輯,按照常理來(lái)說(shuō)��,編輯的操作行為是屬于功能權(quán)限的設(shè)置�����,但是這里的操作行為是建立在數(shù)據(jù)的基礎(chǔ)之上的�����,所以如果把這里對(duì)數(shù)據(jù)的操作權(quán)限在功能角色模塊中設(shè)置,就會(huì)顯得混亂�����,所以我們直接在業(yè)務(wù)角色模塊中加入對(duì)數(shù)據(jù)的可編輯權(quán)限���,這里在設(shè)置的時(shí)候更方便靈活
4)權(quán)限設(shè)置模塊
權(quán)限設(shè)置模塊只需要設(shè)置權(quán)限分配的對(duì)象,選擇對(duì)應(yīng)的用戶(hù)或者用戶(hù)組�����,關(guān)聯(lián)對(duì)應(yīng)的功能角色和業(yè)務(wù)(數(shù)據(jù))角色即可���,這樣就形成了一條完整的閉環(huán)的權(quán)限設(shè)置
對(duì)于06同一用戶(hù)會(huì)存在多個(gè)角色��,我們系統(tǒng)是采用切換角色的模式來(lái)實(shí)現(xiàn)的�,因?yàn)椴煌巧写嬖诨コ獾那闆r�����,以及所涉及的領(lǐng)域不同���,操作權(quán)限差距較大�,求合集不利于控制權(quán)限,所以只能采用切換的模式實(shí)現(xiàn)
藍(lán)藍(lán)設(shè)計(jì)建立了UI設(shè)計(jì)分享群���,每天會(huì)分享國(guó)內(nèi)外的一些優(yōu)秀設(shè)計(jì)�����,如果有興趣的話��,可以進(jìn)入一起成長(zhǎng)學(xué)習(xí)��,請(qǐng)掃碼ben_lanlan���,報(bào)下信息,會(huì)請(qǐng)您入群��。歡迎您加入噢~~希望得到建議咨詢(xún)���、商務(wù)合作��,也請(qǐng)與我們聯(lián)系�。
文章來(lái)源:站酷 作者:設(shè)計(jì)小余
分享此文一切功德�,皆悉回向給文章原作者及眾讀者.
免責(zé)聲明:藍(lán)藍(lán)設(shè)計(jì)尊重原作者,文章的版權(quán)歸原作者�。如涉及版權(quán)問(wèn)題�����,請(qǐng)及時(shí)與我們?nèi)〉寐?lián)系����,我們立即更正或刪除����。
藍(lán)藍(lán)設(shè)計(jì)( sillybuy.com )是一家專(zhuān)注而深入的界面設(shè)計(jì)公司��,為期望卓越的國(guó)內(nèi)外企業(yè)提供卓越的UI界面設(shè)計(jì)���、BS界面設(shè)計(jì) �����、 cs界面設(shè)計(jì) �����、 ipad界面設(shè)計(jì) ��、 包裝設(shè)計(jì) ����、 圖標(biāo)定制 、 用戶(hù)體驗(yàn) ����、交互設(shè)計(jì)、 網(wǎng)站建設(shè) �、平面設(shè)計(jì)服務(wù)
