留言板
用户、角色、权限的三角恋
楼主: 欧霄

1、引言

  一个系统,如果需要登录账号来使用一些功能,尤其是有多种类型的账号的时候,就需要涉及到用户权限的管理。最基本也分为超级管理员和普通用户,在账号类型很少的时候你当然也可以粗暴地直接对特定账号进行控制,但当账号类型很多,账号也很多的时候,这样管理就会把人累死了。因此如何进行有效地权限管理成为了一个问题,而有一个比较成熟的解决方案就是引入角色的概念,来方便快捷地对多个账号和多种权限进行处理,这就形成了一个用户、角色、权限相互联系的三角关系,接下来我们讲解三个概念分别的意义以及操作方式,就可以看出这个模式的方便之处了。

2、用户

  用户这个概念其实是日常生活中接触的最多的一个概念,我们的QQ号、微博账号、贴吧账号等等各种网站、系统的个人账号,都是一个用户,当然大部分情况下我们都是普通用户,还有那些如贴吧吧主等有管理员性质的账号、超级管理员admin账号,也都是用户,我们可以说用户对应着具体的使用个体,这个账号只有我能用,一般来说需要账号密码去登录使用,这就是一个用户。我们举一个学生成绩查询系统的例子,这个系统中,每个学生都用学号去登录,每个学号就对应一个用户;而教师则用教工号去登录,教工号也对应着用户;当然还有admin管理员也是一个大用户。

3、权限

  刚才说完了用户,其实用户很好理解,就是一个个具体的账号。我们知道,我们用QQ时,有时候你想看好友的空间发现没有权限,这是看空间的权限;你也不能随便输入一个QQ号就加为好友,还需要他同意才行,这是加好友的权限。或者说我们用贴吧时,吧主可以删帖,普通吧友不可以,删帖就是一个权限,但是大家都可以发帖, 发帖也是一种权限,只是一般所有人都有这个权限。微信中的朋友圈更是一个权限管理很精细的产品,你只能看到好友的朋友圈,而且还要他允许你看才行,你也只能看到你们共同好友的回复与点赞,这都是权限控制在起作用。还是回到我们上面那个学生成绩查询系统的例子。在这个系统中,我如果是学生,就只有查询成绩的权限,想要修改成绩是不可能的,除非你利用系统漏洞,去进行sql注入之类的,总之,就是学生只有查询权限,没有修改权限,也没有增加、删除成绩的权限。但是老师不一样,一个老师是可以增加所有学生某门课的成绩的权限的,当然特殊时候也可以修改某个学生的成绩,删除嘛,一般用不到吧。但是admin超管一定是拥有所有操作权限的,除了成绩的操作外还可以增删改查学生和老师的账号,可以说他有系统的所有权限。权限也比较好理解,但是这么多权限出来,就有一个问题,试想一下,在具体的开发过程中,如何去控制每个用户有哪些操作权限呢,如果让一个学生用户只能查不能改,而让一个教师用户可以改呢,如果是简单粗暴地给每个用户都加上一个判断,那未免有点太复杂了,也不可能每添加一个用户就去设置他有哪些权限,那也未免太麻烦了。因此,我们就要引入角色的概念了。

4、角色

  上面说到,如果要给每个用户都去设置它拥有的权限,就太麻烦了,那有没有办法可以只用一次设置长久使用呢?我们整理一下,可以发现用户似乎可以分为几个特定的类型。从最简单的开始分析,还是我们的学生成绩查询系统,我们可以一眼看出,系统中就三种类型的用户:学生、教师和超管。学生只能查看成绩;教师可以增删改查成绩;超管除了可以对成绩操作外还可以增删改查用户账号。

  这里我们所谈的就是角色了,这个系统里有三种角色:学生角色、教师角色和管理员角色。每个角色都有其对应的权限,每次在系统中添加一个新用户时,我们给其赋予某一个角色,如果是学生用户就赋予学生角色,如果是教师用户就赋予教师角色等等,这样就不用给每个用户都去设置其对应的权限,只需要根据他的角色去获取角色所拥有的权限就可以了。 

  这相当于在用户和权限之间加了一层,这一层就是角色。用户是不直接接触权限这个层面的,不能直接给某个用户加上某种权限。只有角色能被赋予权限,然后角色被赋予给特定的用户,用户就拥有角色所拥有的权限了。

5、优点

  在用户和权限之间,加了新的一层角色,会不会比较麻烦呢?确实会增加一些工作,但是这从根本上解决了给多种多个用户赋予权限的复杂问题,相比起来结构更加清晰,也更加便于管理。可能你会问那我只想临时给这个用户加上一个小权限难道也必须先创造一个只拥有这个小角色的权限吗?是的,在这个结构体系下所有的赋权操作都必须走这个流程,看上去好像麻烦了,但其实整体上是很清晰的。我们说的学生成绩查询系统知识一个比较简单的系统,当你面对一个微信、微博、贴吧等等这样有庞大用户和权限类型的系统时,对于权限的管理会无比麻烦,你也很少会去给某个用户添加某一个特定的权限,一般都是赋予一个对应的角色,然后便拥有了其所拥有的权限了。 

  在采用这种模式时,管理员一般可以增删改查权限、增删改查角色、给角色赋予权限、增删该查用户、给用户赋予角色这几个基本的权限管理功能,这样做,就非常清晰,角色的命名也可以很明了,如学生、老师、吧主、普通用户、会员等等,然后赋予对应的权限去直接给用户加角色就可以了。 

  需要说明的是,一个角色可以被赋予多个权限,一个用户也可以被赋予多个角色,你可以拥有普通用户角色所包含的权限的同时,也拥有一些特殊的权限对应的角色,角色之间的权限很少重复,这样角色管理就非常独立,方便组合,更加解耦。  

  总的来说,使用这种模式来管理用户权限是比较方便、整洁的,在很多系统中也是如此做的,尽管实现方式各异,但这个模式都是大同小异的,在开发系统时,如果涉及到分类较多较细的权限管理,则可以考虑使用这种模式。

[本帖由 admin 于 2016-09-14 11:05:20 编辑]
发表于: 14/09/2016 10:48:45 10:48:45 #0

Re:用户、角色、权限的三角恋
沙发: 姚雨涛
回复 欧霄:

很好,其实引入角色这一层有一个很大的原因是因为:在一个大型系统中,某一些业务操作可以抽象成一类操作,比如hsas中分配初评专家这一系列操作,就可以抽象成“初评专家分配员”这个小角色,同样的也有“复评专家分配员”、“系统日志管理员”等这些小角色。一个用户就是一系列小角色的集合。

发表于: 14/09/2016 11:07:50 11:07:50 #1