一、前言
隨著互聯(lián)網(wǎng)的快速發(fā)展��,B端行業(yè)也逐漸崛起�����,很多企業(yè)管理中使用的軟件我們通常稱其為B端管理系統(tǒng),而在B端系統(tǒng)中“權(quán)限管理”是必不可少的功能�,不同的系統(tǒng)中權(quán)限的應(yīng)用復(fù)雜程度不一樣,都是根據(jù)實(shí)際產(chǎn)品以及需求情況而設(shè)置合理的權(quán)限�。而我們現(xiàn)在對(duì)于權(quán)限的設(shè)置基本上都是建立在RBAC權(quán)限模型上的、擴(kuò)展的�����,下面我會(huì)通過介紹RBAC權(quán)限模型的概念以及結(jié)合實(shí)際業(yè)務(wù)情況列舉權(quán)限設(shè)置的應(yīng)用���。
二、什么是RBAC權(quán)限模型��?
RBAC是Role-BasedAccess Control的英文縮寫����,意思是基于角色的訪問控制。RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who�����、What���、How的問題��。在RBAC模型中��,who��、what�����、how構(gòu)成了訪問權(quán)限三元組���,也就是“Who對(duì)What進(jìn)行How的操作����,也就是“主體”對(duì)“客體”的操作���。其中who是權(quán)限的擁有者或主體(例如:User��、Role)�,what是資源或?qū)ο螅≧esource�、Class)。
簡單的理解其理念就是將“角色”這個(gè)概念賦予用戶�,在系統(tǒng)中用戶與權(quán)限之間通過角色進(jìn)行關(guān)聯(lián)���,以這樣的方法來實(shí)現(xiàn)靈活配置。
RBAC其實(shí)是一種分析模型�,主要分為:基本模型RBAC0、角色分層模型RBAC1���、角色限制模型RBAC2和統(tǒng)一模型RBAC3�。
RBAC權(quán)限模型是基于角色的權(quán)限控制�。模型中有幾個(gè)關(guān)鍵的術(shù)語:
1)RBAC0
RBAC0是RBAC權(quán)限模型的核心思想,RBAC1�、RBAC2、RBAC3都是在RBAC0上進(jìn)行擴(kuò)展的���。RBAC0是由四部分構(gòu)成:用戶、角色���、會(huì)話���、許可。用戶和角色的含義很簡單��,通過字面意思即可明白���,會(huì)話:指用戶被賦予角色的過程��,稱之為會(huì)話或者是說激活角色��;許可: 就是角色擁有的權(quán)限(操作和和被控制的對(duì)象)�,簡單的說就是用戶可使用的功能或者可查看的數(shù)據(jù)。
用戶與角色是多對(duì)多的關(guān)系�,用戶與會(huì)話是一對(duì)一的關(guān)系,會(huì)話與角色是一對(duì)多的關(guān)系�,角色與許可是多對(duì)多的關(guān)系。
2)RBAC1
RBAC1是在RBAC0權(quán)限模型的基礎(chǔ)上����,在角色中加入了繼承的概念,添加了繼承發(fā)的概念后��,角色就有了上下級(jí)或者等級(jí)關(guān)系�����。
舉例:集團(tuán)權(quán)責(zé)清單下包含的角色有:系統(tǒng)管理員�����、總部權(quán)責(zé)管理員�����、區(qū)域權(quán)責(zé)管理員、普通用戶���,當(dāng)管理方式向下兼容時(shí)����,就可以采用RBAC1的繼承關(guān)系來實(shí)現(xiàn)權(quán)限的設(shè)置�����。上層角色擁有下層的所有角色的權(quán)限�����,且上層角色可擁有額外的權(quán)限
3)RBAC2
RBAC2是在RBAC0權(quán)限模型的基礎(chǔ)上��,在用戶和角色以及會(huì)話和角色之間分別加入了約束的概念(職責(zé)分離)�����,職責(zé)分離指的是同一個(gè)人不能擁有兩種特定的權(quán)限(例如財(cái)務(wù)部的納入和支出����,或者運(yùn)動(dòng)員和裁判員等等)。
用戶和角色的約束有以下幾種形式:
-
互斥角色:同一個(gè)用戶在兩個(gè)互斥角色中只能選擇一個(gè)(也會(huì)存在一個(gè)用戶擁有多個(gè)角色情況���,但是需要通過切換用戶角色來實(shí)現(xiàn)對(duì)不同業(yè)務(wù)操作)
-
基數(shù)約束:一個(gè)用戶擁有的角色是有限的�����,一個(gè)角色擁有的許可也是有限的
-
先決條件約束:用戶想要獲得高級(jí)角色����,首先必須擁有低級(jí)角色
會(huì)話和角色之間的約束��,可以動(dòng)態(tài)的約束用戶擁有的角色�,例如一個(gè)用戶可以擁有兩個(gè)角色,但是運(yùn)行時(shí)只能激活一個(gè)角色���。
例如:iconfont和藍(lán)湖的用戶與角色就采用了約束的概念���,超級(jí)管理員只允許只有一個(gè)
4)RBAC3
RBAC3是RBAC1與RBAC2的合集,所以RBAC3包含繼承和約束��。
二、為什么要引用RBAC權(quán)限模型?
RBAC中具有角色的概念�,如果沒有角色這個(gè)概念���,那么在系統(tǒng)中��,每個(gè)用戶都需要單獨(dú)設(shè)置權(quán)限����,而系統(tǒng)中所涉及到的功能權(quán)限和數(shù)據(jù)權(quán)限都非常多,每個(gè)用戶都單獨(dú)設(shè)置權(quán)限對(duì)于維護(hù)權(quán)限的管理員來說無疑是一件繁瑣且工作量巨大的任務(wù)��。
而引入角色這個(gè)概念后�����,我們只需要給系統(tǒng)設(shè)置不同的角色����,給角色賦予權(quán)限,再將用戶與角色關(guān)聯(lián)�����,這樣用戶所關(guān)聯(lián)的角色就直接擁有了該角色下的所有權(quán)限��。
例如:用戶1~用戶8分別擁有以下權(quán)限����,,不同用戶具有相同權(quán)限的我用不同的顏色做了區(qū)分��,如下圖:
在沒有引入RBAC權(quán)限模型的情況下�����,用戶與權(quán)限的關(guān)系圖可采用下圖的楊叔叔展示�,每個(gè)用戶分別設(shè)置對(duì)應(yīng)的權(quán)限,即便是具有相同權(quán)限的用戶也需要多次設(shè)置權(quán)限�����。
引入RBAC權(quán)限模型及引入了角色的概念�����,根據(jù)上面表格的統(tǒng)計(jì)����,用戶1、用戶3����、用戶5���、用戶8擁有的權(quán)限相同,用戶2�����、用戶6����、用戶7擁有相同的權(quán)限,用戶4是獨(dú)立的權(quán)限����,所以我們這里可以根據(jù)數(shù)據(jù)統(tǒng)計(jì),以及實(shí)際的需求情況�����,可以建立三個(gè)不同的角色�,角色A、角色B���、角色C���,三個(gè)角色分別對(duì)應(yīng)三組用戶不同的權(quán)限����,如下圖所示:
對(duì)應(yīng)的上面的案例表格我們就可以調(diào)整為含有角色列的數(shù)據(jù)表�,這樣便可以清楚的知道每個(gè)用戶所對(duì)應(yīng)的角色及權(quán)限���。
通過引用RBAC權(quán)限模型后����,對(duì)于系統(tǒng)中大量的用戶的權(quán)限設(shè)置可以更好的建立管理�,角色的引入讓具有相同權(quán)限的用戶可以統(tǒng)一關(guān)聯(lián)到相同的的角色中,這樣只需要在系統(tǒng)中設(shè)置一次角色的權(quán)限��,后續(xù)的用戶便可以直接關(guān)聯(lián)這些角色�����,這樣就省去了重復(fù)設(shè)置權(quán)限的過程���,對(duì)于大型平臺(tái)的應(yīng)用上����,用戶的數(shù)量成千上萬�����,這樣就可避免在設(shè)置權(quán)限這項(xiàng)工作上浪費(fèi)大量的時(shí)間。
三�����、引入用戶組的概念
我們依舊拿上面表格案例舉例��,雖然前面我們應(yīng)用的RBAC權(quán)限模型的概念�,但是對(duì)于大量用戶擁有相同權(quán)限的用戶,我們同樣的也需要對(duì)每個(gè)用戶設(shè)置對(duì)應(yīng)的角色��,如果一個(gè)部門上萬人�,那么我們就需要給這個(gè)部門上萬人分別設(shè)置角色,而這上萬其實(shí)是具有相同的權(quán)限的����,如果直接采用基礎(chǔ)的RBAC權(quán)限模型的話,那么面對(duì)這樣的情況��,無疑也是具有一個(gè)龐大的重復(fù)的工作量����,并且也不利于后期用戶變更的維護(hù)管理,那么針對(duì)相同用戶具有相同的權(quán)限的情況����,我們便可以引入用戶組的概念����。
什么是用戶組呢����?用戶組:把具有相同角色的用戶進(jìn)行分類����。
上面我們的數(shù)據(jù)表格案例中的用戶1、用戶3�、用戶5、用戶8具有相同的角色A����,用戶2、用戶6����、用戶7也擁有相同的角色B,那么我們就可以將這些具有相同角色的用戶建立用戶組的關(guān)系�,拿上面的案例,我們分別對(duì)相同角色的用戶建立組關(guān)系�����,如下:
用戶1、用戶3���、用戶5���、用戶8→建立用戶組1
用戶2、用戶6����、用戶7→建立用戶組2
因?yàn)橛脩?只有一個(gè)用戶,所以直接還是單獨(dú)建立用戶與角色的關(guān)系����,不需要建立用戶組,當(dāng)然盡管只有一個(gè)用戶也是可以建立用戶組的關(guān)系��,這樣有利于后期其他用戶與用于4具有相同的角色時(shí)��,就可以直接將其他用戶添加到這個(gè)用戶組下即可����,根據(jù)業(yè)務(wù)的實(shí)際情況而選擇適合的方案即可。
通過案例表格的變化我們就可以直觀的看出權(quán)限設(shè)置變得清晰簡潔了,通過第用戶組賦予角色����,可以減少大量的重復(fù)的工作,我們常見的企業(yè)組織�����、部門下經(jīng)常會(huì)出現(xiàn)不同用戶具有相同角色的情況�,所以采用用戶組的方式,便可以很好的解決這個(gè)問題���,給具有相同權(quán)限的用戶建立用戶組���,將用戶組關(guān)聯(lián)到對(duì)應(yīng)的角色下��,此用戶組就擁有了此角色下的所有權(quán)限���,而用戶是屬于用戶組的�,所以用戶組下的所有用戶也就同樣的擁有了此角色下的所有權(quán)限��。一個(gè)用戶可以屬于多個(gè)用戶組�,一個(gè)用戶組也可以包括多個(gè)用戶,所以用戶與用戶組是多對(duì)多的關(guān)系��。
四、引入權(quán)限組的概念
權(quán)限組與用戶組的原理差不多����,是將一些相對(duì)固定的功能或者權(quán)限建立組的關(guān)系,然后再給此權(quán)限組賦予角色�,目前我所接觸的B端項(xiàng)目中使用權(quán)限組的概念的比較少,可簡單的看一下關(guān)系圖
四�、功能權(quán)限和數(shù)據(jù)權(quán)限
B端系統(tǒng)中一般產(chǎn)品的權(quán)限由頁面、操作和數(shù)據(jù)構(gòu)成��。頁面與操作相互關(guān)聯(lián)���,必須擁有頁面權(quán)限��,才能分配該頁面下對(duì)應(yīng)的操作權(quán)限��,數(shù)據(jù)可被增刪改查����。所以將權(quán)限管理分為功能權(quán)限管理和數(shù)據(jù)權(quán)限管理����。
功能權(quán)限管理:指的是用戶可看到那些模塊,能操作那些按鈕,因?yàn)槠髽I(yè)中的用戶擁有不同的角色���,擁有的職責(zé)也是不同的�����。
數(shù)據(jù)權(quán)限管理:指的是用戶可看到哪些模塊的哪些數(shù)據(jù)����。
例如:一個(gè)系統(tǒng)中包含多個(gè)權(quán)責(zé)清單(清單1�、清單2、清單3)����,系統(tǒng)管理員能對(duì)整個(gè)系統(tǒng)操作維護(hù),也就可以對(duì)系統(tǒng)中的所有清單都能操作(增�、刪�����、改�����、查);假如分配給總部權(quán)責(zé)管理員的是清單1�����,那么他將只能對(duì)清單1進(jìn)行操作(增�、改、查)�;普通用戶也許只有查看數(shù)據(jù)的權(quán)限,沒有數(shù)據(jù)維操作的權(quán)限(查),這里的操作是系統(tǒng)中所有可點(diǎn)擊的按鈕權(quán)限操作��,列舉的增刪改查只是最常見的幾種操作而已�����。
五��、實(shí)戰(zhàn)案例總結(jié)
我目前所做的項(xiàng)目是一個(gè)關(guān)于權(quán)責(zé)管理平臺(tái)的B端系統(tǒng)�,關(guān)于系統(tǒng)中的權(quán)限需求我這里簡單的介紹一下,并采用上面所總結(jié)的RBAC權(quán)限模型對(duì)實(shí)際業(yè)務(wù)需求進(jìn)行設(shè)計(jì)分析:
01:不同的區(qū)域管理員的權(quán)限各不相同(說明會(huì)存在不同的用戶具有不同的權(quán)限�,那么我們就可以采用角色對(duì)其進(jìn)行規(guī)范)
02:有大量的用戶具有相同的權(quán)限(例如組織、部門等)(說明存在相同權(quán)限的用戶�����,那么我們就可以采用用戶組的概念)
03:上級(jí)管理員擁有下級(jí)人員的所有權(quán)限(說明存在繼承關(guān)系)
04:不同用戶所看到的數(shù)據(jù)和能編輯的數(shù)據(jù)不同�����,一些機(jī)密性的數(shù)據(jù)只允許部分人員看或者編輯(說明存在約束)
05:會(huì)存在臨時(shí)性的用戶(說明需要支持新建新角色)
06:同一用戶會(huì)存在多個(gè)角色(多角色求合集或者切換用戶角色)
簡單說明一下,我所做這個(gè)項(xiàng)目的人員管理是在另外一個(gè)系統(tǒng)中管理的���,權(quán)責(zé)平臺(tái)只是調(diào)用另外一個(gè)平臺(tái)的組織結(jié)構(gòu)樹即可��,所以權(quán)限設(shè)置模塊沒有做人員管理的模塊
根據(jù)上面對(duì)需求的分析�,整個(gè)權(quán)限管理模塊中我們需要建立用戶組管理模塊�����、功能角色管理模塊�����、業(yè)務(wù)(數(shù)據(jù))管理模塊����、權(quán)限設(shè)置模塊,下面就對(duì)每個(gè)模塊做更細(xì)致的頁面展示設(shè)計(jì)分析
1)用戶組管理模塊
用戶組管理主要是對(duì)具有相同權(quán)限的用戶分類建組���,所以頁面中我們需要有新建用戶組的功能,每個(gè)用戶組下我們需要關(guān)聯(lián)對(duì)應(yīng)的組織���、部門���、崗位���、人員,讓這些具有相同權(quán)限的用戶在同一個(gè)用戶組下��,如下圖:
2)功能角色管理模塊
B端項(xiàng)目中一般會(huì)建立幾個(gè)默認(rèn)的角色是不支持用戶修改�����、刪除的����,例如最常見的系統(tǒng)管理員,而也會(huì)需要有其它角色的需求����,所以此模塊需要支持用戶新建角色,功能角色是對(duì)大模塊的頁面和操作的權(quán)限設(shè)置����,操作權(quán)限的顆粒度可以細(xì)分到每個(gè)頁面的每一個(gè)按鈕的操作,如下圖:
3)業(yè)務(wù)(數(shù)據(jù))角色管理模塊
業(yè)務(wù)角色是對(duì)頁面中的數(shù)據(jù)餓查看的權(quán)限設(shè)置�����,而對(duì)于系統(tǒng)中的普通用戶查看系統(tǒng)的權(quán)限是常用不變的,所以我們考慮默認(rèn)有一個(gè)普通用戶的角色�����,其它業(yè)務(wù)角色用戶根據(jù)實(shí)際需求情況自行建立即可�����,由于我們權(quán)責(zé)系統(tǒng)的特殊性����,我們需要滿足用戶對(duì)部分?jǐn)?shù)據(jù)可編輯且對(duì)部分?jǐn)?shù)據(jù)的字段可編輯,按照常理來說�����,編輯的操作行為是屬于功能權(quán)限的設(shè)置����,但是這里的操作行為是建立在數(shù)據(jù)的基礎(chǔ)之上的,所以如果把這里對(duì)數(shù)據(jù)的操作權(quán)限在功能角色模塊中設(shè)置���,就會(huì)顯得混亂����,所以我們直接在業(yè)務(wù)角色模塊中加入對(duì)數(shù)據(jù)的可編輯權(quán)限�,這里在設(shè)置的時(shí)候更方便靈活
4)權(quán)限設(shè)置模塊
權(quán)限設(shè)置模塊只需要設(shè)置權(quán)限分配的對(duì)象,選擇對(duì)應(yīng)的用戶或者用戶組��,關(guān)聯(lián)對(duì)應(yīng)的功能角色和業(yè)務(wù)(數(shù)據(jù))角色即可�,這樣就形成了一條完整的閉環(huán)的權(quán)限設(shè)置
對(duì)于06同一用戶會(huì)存在多個(gè)角色,我們系統(tǒng)是采用切換角色的模式來實(shí)現(xiàn)的���,因?yàn)椴煌巧写嬖诨コ獾那闆r����,以及所涉及的領(lǐng)域不同����,操作權(quán)限差距較大,求合集不利于控制權(quán)限�����,所以只能采用切換的模式實(shí)現(xiàn)
藍(lán)藍(lán)設(shè)計(jì)建立了UI設(shè)計(jì)分享群���,每天會(huì)分享國內(nèi)外的一些優(yōu)秀設(shè)計(jì)�,如果有興趣的話,可以進(jìn)入一起成長學(xué)習(xí)��,請(qǐng)掃碼ben_lanlan����,報(bào)下信息,會(huì)請(qǐng)您入群����。歡迎您加入噢~~希望得到建議咨詢、商務(wù)合作�����,也請(qǐng)與我們聯(lián)系���。
文章來源:站酷 作者:設(shè)計(jì)小余
分享此文一切功德�,皆悉回向給文章原作者及眾讀者.
免責(zé)聲明:藍(lán)藍(lán)設(shè)計(jì)尊重原作者�,文章的版權(quán)歸原作者。如涉及版權(quán)問題��,請(qǐng)及時(shí)與我們?nèi)〉寐?lián)系��,我們立即更正或刪除。
藍(lán)藍(lán)設(shè)計(jì)( www.bouu.cn )是一家專注而深入的界面設(shè)計(jì)公司����,為期望卓越的國內(nèi)外企業(yè)提供卓越的UI界面設(shè)計(jì)、BS界面設(shè)計(jì) ���、 cs界面設(shè)計(jì) 、 ipad界面設(shè)計(jì) �����、 包裝設(shè)計(jì) ���、 圖標(biāo)定制 �、 用戶體驗(yàn) ��、交互設(shè)計(jì)�����、 網(wǎng)站建設(shè) �����、平面設(shè)計(jì)服務(wù)
