角色授權設計
① Pb 系統中如何設計角色的許可權
這個呀,你可以在你的員工表裡面加上一個「組」標志,是1的話就能看到。每次登陸的時候你就取一下這個裡面的值,如果是1的話就能看到如果不是1的話你就把dw_1.modify()那個列的VISIB屬性改為FALSE就這樣!
② java角色許可權管理詳細設計
開源的java許可權框架里spring security和Apache Shiro是最出名的,spring security設計太過復雜,難上手。你可以參考下shiro,不一定要用它的框架,看看他的模型和原理介紹你也可以模仿一個適合你用的許可權設計出來
③ 誰能提供一個關於用戶角色許可權設計完整的方案。謝謝
User:用戶表,存放用戶信息
Role:角色表,存放角色信息
UserInRole:用戶角色映射表,存放用戶和角色的對就關系,多對多,一個用戶可以對應多個
角色,而不同的角色有一同的許可權。
Permissions:許可權表,不同的角色對應不同的許可權。許可權信息使用一個欄位flag來表示,
好處是可以使用位運算來計算許可權,缺點是用位標識的許可權受理論值限制,如int理論上可以
標識31種不同的許可權, 當然可以整加一個欄位來彌補,ApplicationID標識不同的模塊
Application:模塊信息。
[Flags]
public enum Flag:long
{
View=1,
Edit=2,
Delete=4
}
特性[Flag]告訴編譯器,當編譯器看到Flag枚舉時,它會充許你用|(or)操作符組合枚舉值,
就像二的整數冪一樣,
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;表示三種許可權的組合。
基礎知識:
位運算
枚舉Flag
當編譯器看到Flag枚舉時,它會充許你用|(or)操作符組合枚舉值,
就像二的整數冪一樣,
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;
常用操作,檢查是否存在
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
public bool Check(Flag administer,Flag mask)
{
bool bReturn = false;
if ((administer & mask) == mask)
bReturn = true;
return bReturn;
}
調用 Check(administer,Flag.Edit)將返回true.
public Flag SetBit(Flag administer,Flag mask)
{
return administer |= mask;
}
administer |= mask;操作相當於 administer = administer |mask;
從枚舉中減去一種狀態
administer &=mask;
如 :
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
如需要禁止刪除許可權.
administer &=Flag.Delete;
另外,標記為flag的枚舉類型,可以不設置值
public enum Flag:long
{
View,
Edit,
Delete
}
如需要設置,按以下規律, View=1,Edit=2,Delete=4,Reply=8按2次方累加,為什麼會這樣?因為他使用二進制操作,
當你使用 View=1,Edit=2,Delete=3,Reply=4這樣的值, Flag.Delete 包含的值是Flag.Delete還是View=1|Edit=2就無從檢測了.
每個用戶,可以屬於不同的角色不同的角色分配不同的許可權,計算所有解權的所有可能的許可權組合,只要有充許的許可權,那麼該用戶既獲取該許可權。
在CS系統中,Permissions表合用了二個欄位來標識許可權.
AllowMask,DenyMask 規責是Deny優先,也就是說當許可權標記為Deny那麼不論是否Allow一律禁止該用戶進行此項操作。
另外,像論壇類的許可權設計,僅僅一個ApplicationID欄位是不夠用的,因為每個版塊都需要設置不同的許可權,來控制許可權的粒度,可在增加一張Permission表,ApplicationID修改為版塊ID
這樣,就可以針對不同的版塊設置不同的許可權
好了,接下的問題是怎麼和.net自帶的許可權系統掛鉤了。。
在asp.net系統中 ,HttpContext.Current.User實現了一個介面IPrincipal,IPrincipal包含了另一個介面Identity
我們在設計User類的時候繼承此介面
public class User:IPrincipal
{
string username;
public string Username
{
get{return username;}
set{username=value;}
}
}
實現IPrincipal介面方法
public IIdentity Identity
{
get {
if (!string.IsNullOrEmpty(username))
_Identity = new GenericIdentity(username,"Forums");
return (IIdentity)_Identity;
}
}
public bool IsInRole(string role)
{
.....
}
怎樣和asp.net掛鉤呢,這里可以在登陸時做檢查
if(HttpContext.Current!=null){
User u= Users.GetUser(name);
HttpContext.Current.User =u;
在使用時
User u = HttpContext.Current.User as User;
當然檢查用戶角色可以直接用
if(HttpContext.Current.User.Identity.IsAuthenticated&&HttpContext.Current.User.IsInRole(角色名))
另外可以直接把到當用戶許可權策略掛接到當前線程 ,使用以下方法
AppDomain.CurrentDomain.SetPrincipalPolicy(User);
好了,接下來,怎麼check許可權?
我傾向於使用Attribute
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method | AttributeTargets.Property | AttributeTargets.Delegate, Inherited = true, AllowMultiple = true)]
public class CheckPermissionAttribute : Attribute
{
int appID;
public int ApplicationID
{
get { return appID; }
set { appID = value; }
}
Permission _allMask;
public Permission AllMask
{
get { return _allMask; }
set { _allMask = value; }
}
public CheckPermissionAttribute(ApplicationID app, Permission allMask)
{
appID = app;
_allMask = allMask;
}
public CheckPermissionAttribute(Permission allMask)
{
_allMask = allMask;
}
}
AttributeUsage 第一個參數表示該屬性可以應用於類,方法,屬性,代理上
Inherited 檢查繼承的許可權。
AllowMultiple 充許多次應用。
按下來,設計一個基類,繼承自Page:
public class PageBase : Page
{
Flag _allMask;
/// <summary>
/// 檢查類型許可權
/// </summary>
public void CheckClass()
{
Type type = this.GetType();
CheckPermissionAttribute att = (CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(type, typeof(CheckPermissionAttribute));
if (att != null)
{
Check(att.AllMask);
}
}
/// <summary>
/// 檢查函數調用許可權
/// </summary>
/// <param name="methodName">方法名</param>
public void CheckMethod(string methodName)
{
Type type = this.GetType();
string name = "*";
if (!string.IsNullOrEmpty(methodName))
name = methodName;
MemberInfo[] mis = type.FindMembers(MemberTypes.Method ,BindingFlags.Instance | BindingFlags.NonPublic | BindingFlags.Public | BindingFlags.IgnoreCase,Type.FilterNameIgnoreCase,name);
foreach (MethodInfo m in mis)
{
CheckPermissionAttribute att = (CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(m, typeof(CheckPermissionAttribute));
if (att != null)
{
Check(att.AllMask);
}
}
return;
}
public void Check(Flag permissions)
{
if (!CheckPermission(permissions))
{
string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您沒有許可權訪問該資源"));
Response.Redirect(url);
}
}
public void Check(ApplicationID appID, Flag permissions)
{
PermissionManager pm= Spaces.PermissionManager.Instance(appType);
if (!CheckPermission(pm,permissions))
{
string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您沒有許可權訪問該資源"));
Response.Redirect(url);
}
}
protected override void OnInit(EventArgs e)
{
CheckClass();
base.OnInit(e);
}
}
如何使用:
[CheckPermission(2, Flag.View)]
public partial class MyPage : PageBase
{
}
若沒有查看許可權,會自運導向錯誤頁面。
在類上應用挺方便。
方法上應用我於一個方法比較麻煩,我還沒有找到在頁面class里怎麼獲取當前調用的類名.
可以調用 CheckMethod(方法名稱);如
[CheckPermission(2, Flag.Delete)]
public partial class MyPage : PageBase
{
public void test()
{
CheckMethod("test");
.......
}
}
④ asp.net 角色許可權的表設計 求高手指點
||用戶表 UserID | UserName |襲 UserPassword | RoleID 角色表RoleID | RoleName 頁面鏈接表(採用樹型結構)PageID | PageName | PageUrl | ParentID 頁面元素表ElementID | ElementCode | PageID 許可權表RoleID | ElementID 如某個頁面元素對於某角色可見,那這個元素所在的頁面鏈接應該可訪問,這個頁面的父頁面鏈接應可見(可見並不等於可以操作,因為操作是有許可權的)
⑤ 用戶許可權設計
基於角色的訪問控制模型就是把「用戶—角色—操作—資源」關聯到一起,實現非自主型訪問控制策略。使用基於角色的訪問控制模型可以減輕安全管理工作,因為某種任務是穩定的,而負責該項任務的人員是經常變化的,這種方式只需把新的用戶分配給已有的角色即可,無需為用戶重新指定資源和操作,因而簡化了授權管理工作。
為了保障本系統操作使用的信息安全,系統登錄認證體系由三個要素組成:用戶、角色、許可權,三者相輔相成,共同組成系統的安全運行屏障。
1.用戶信息
用戶信息表統一管理,在用戶信息表中存儲用戶名稱、登錄名、口令、各子系統許可權、用戶角色信息等。
用戶信息表的添加、刪除以及子系統許可權修改由總系統授權的管理員執行,本系統中,用戶信息表的操作在業務處理與信息服務子系統的系統管理菜單下的用戶信息管理頁面。用戶口令可以自行改變,用戶許可權的變更需要提請管理員同意,並由管理員修改。
子系統啟動時讀取用戶信息表驗證用戶許可權,在系統運行時依據許可權分配相應的功能。依據用戶在子系統中的許可權級別控制用戶可操作的功能,實現最終用戶對ORACLE資料庫中數據的讀取和添加操作許可權控制(表8-2)。
表8-2 用戶信息結構表
2.角色信息
角色可以根據需要任意多地添加,多個角色許可權組合生成多個許可權控制,對應到一個確定的用戶,賦予用戶對功能模塊的控制許可權。用戶角色表包括角色名稱、用戶唯一值編碼等信息。示例見表8-3。
表8-3 用戶角色表(示例)
在資料庫中為各個功能模塊建立了功能名稱表,每個功能模塊均有記錄,有功能編碼和功能名稱及其他附屬信息。功能名稱示例見表8-4。
表8-4 功能名稱表(示例)
每個用戶必須屬於至少一個角色,每個角色具備多個功能的控制許可權,功能許可權通過角色傳遞給用戶,從而實現用戶對功能的操作許可權控制。
3.許可權信息
許可權表明了用戶可執行的操作。系統許可權控制採用最大優先,用戶可以擁有多個角色,每個角色對每一頁面都可擁有許可權,但在許可權結果判斷時只以最大許可權為主,即管理員級許可權大於並包含訪問者許可權。功能許可權示例如表8-5所示。
表8-5 功能許可權表(示例)
系統規劃的子系統許可權等級見表8-6。
表8-6 子系統許可權等級規劃表(部分)
續表
4.用戶認證授權
通過以上四個表將用戶、角色與許可權組合起來,可以形成無窮多的用戶許可權組合,直接控制用戶許可權到每個細分功能。
用戶、角色、許可權、功能控制流程如圖8-1所示:
圖8-1 用戶許可權控制流程圖
功能許可權表僅在部署角色許可權時使用,標示功能具備的可部署許可權。
在角色中必須保證有一個管理角色擁有用戶管理功能的管理許可權,防止不能分配角色與許可權,同樣在用戶中必須保證至少有一個用戶是管理角色。
⑥ 用戶角色許可權如何設計資料庫表
加個用戶表user中,其內有,授權欄位auth,根據大小,分成1,0,2
你在程序中控制其大小,如:大於2的,權大些,其他遞減
⑦ 如何設計用戶、角色、許可權表
用戶
:ID
UserName
角色與用戶關系表:ID
userID
RoleID
角色:ID
RoleName
角色與許可權項關版系表:ID
許可權項表ID
RoleID,Effectiveness
--顯示這許可權是否有效
許可權項表
ID
Name
----------------
同1樓一致,只是權多了Effectiveness
--顯示這許可權是否有效
⑧ 求助:如何設計一個的系統許可權(角色,許可權,分組)
你可以看看RBAC許可權模型,http://www.cnblogs.com/ghd258/archive/2006/10/18/532611.html
⑨ 角色與角色擁有哪些許可權功能的設計思路理解
本gzw系統 角色組 、 角色 、 用戶 、 功能 。他們之間怎麼設置關聯關系呢?因專為這個關系弄懂了,為後屬期shiro進行許可權控制
我們直接看圖。
這只是一種設計方式,當然如果有更好的,可以自己去實現。
⑩ 如何設計一個基於角色的用戶許可權系統
用戶是指系統里可以進行登錄或者其他操作的實體,角色是擁有部分許可權的集合體,而許可權是管理用戶訪問的機制。通常用戶擁有管理員給予的許可權和他的角色的所有權限。