PM项目产品权限RBAC

权限系统设计总结

2019-07-24  本文已影响0人  双城笔录

本篇文章的内容是对在设计权限系统这个过程中的思路和查阅过的资料的整理,记录在简书方便后面review。

一、权限系统相关资料

因为没有权限系统的产品设计经验,为了能够快速地了解和学习相关知识,我在网上查阅了很多相关的资料。对自己帮助比较大的资料罗列如下:

二、RBAC权限模型简述

在查阅资料的过程中,发现被提及最多的权限模型为RBAC。RBAC全称为Role-Based Access Control,即基于角色的访问控制。简单来说,RBAC权限模型中主要由三者组成,分别是用户、角色以及权限。通过指定用户为哪些角色以及指定角色用户哪些权限来达到权限控制的目的。

关于RBAC通俗易懂的描述见后台产品设计系列:单系统与多系统的用户权限设计(五),而更详尽的描述见权限系统与RBAC模型概述,这里就不赘述了。

三、需求初始阶段

在这个阶段具体的功能要做成什么样其实并不清晰。比如权限系统具体要由哪几种角色?权限系统是否需要新增角色?每种角色的权限是通过什么方式来分配的?在这个阶段这些问题都还没有答案。

所以原始的产品需求如下:

四、需求的最终确定

通过自己分析和查阅权限系统相关资料(见一),结合现有系统的实际情况,最后明确了功能设计,最终的需求确定如下:

五、数据库表设计及具体的权限实现

  1. 默认权限:角色默认的权限通过django-rest-framework来规限。在登录时,系统就会判断该用户属于什么角色,属于哪种角色默认就可以访问对应的页面和资源。
  2. 被设定的权限:通过数据库表来规限。建立三张数据表,用户表、权限表以及用户权限表。用户表中除了关于用户个人信息的字段还增加了一个角色字段,权限表中包括被允许设定的权限。用户拥有哪些权限就写在了用户权限表里面。用户与权限是多对多的关系。
  3. 通过上面默认权限和数据表规限的方式,完成对用户权限的具体实现,用户总权限=所属角色默认权限+被设定的权限。

六、权限系统与RBAC的比较

上述权限系统的功能是参考RBAC模型设计的,但是和典型的RBAC模型又有较多不同。主要的不同点如下:

  1. 角色

(1) 在RBAC中被分配创建角色权限的用户可以创建新的角色。
(2) 而在我们的系统中角色不能被创建,只有超级管理员、普通管理员及普通用户这三种角色。

  1. 用户和角色的关系

(1)在RBAC中每个用户可以扮演不同的角色,用户和角色是多对多的关系。
(2) 而在我们的系统中每个用户仅可以扮演一种角色,用户和角色的关系是一对一的关系。

  1. 用户的权限控制

(1) 在RBAC中用户的权限完全通过所属的角色来控制,即某种角色被赋予某些权限,某种用户属于某种角色或者某几种角色,那么该用户就拥有了该角色或者该几种角色的权限。
(2) 而在我们的系统中,用户的权限大部分通过所属的角色来控制,但是访问某个页面的权限是管理员针对某个特定的用户来控制的。
以普通用户为例:属于普通用户这种角色的某个用户,在被创建的时候就拥有编辑个人信息的权限,但是该用户是否有权限访问A页面、B页面或者C页面呢?这个就要看超级管理员或者他关联的普通管理员有没有赋予他访问A页面、B页面或者C页面的权限了。

以上是权限系统设计总结的全部内容。

Note:因本人水平有限,如发现问题,直接在文章的评论下留言即可,感谢交流。

上一篇下一篇

猜你喜欢

热点阅读