权限管理——基于角色的访问

对于我们这块东西，一开始的时候没有想明白，于是重点就放错了。讨论了两天的权限角色，通过讨论的这两天对权限，角色也有了一些认识。

一、认识
权限，角色是分不开的；用户是不可少的，依附于角色。

在应用系统中，权限比较直观，表现为对功能模块的操作，菜单的访问，甚至细化到某个页面上的按钮，图片，DIV等的控制，对权限的粒度进行划分。权限用树形结构表示出来。

角色可以理解权限的载体，给角色授权。

用户，系统的具体操作者。这时需要给用户分配角色，特殊需要的还可以给用户授权，如果一一给用户授权很繁琐，可以对用户进行分组，每个组内有多个用户，给用户组授权。这样用户用户拥有的权限就是用户个人拥有的权限与该用户所在的组拥有的权限之和。

二、关系
用户，权限，角色的关系



用户，组，权限，角色关系



三、核心问题

用户角色权限的核心问题是，如何给用户分配角色，如何给角色分配权限。

1、如何给角色授权：
角色继承。比如说角色2继承角色1，管理员在定义角色2时就可以只设定不同于角色1的访问权限，避免重复定义。主要是定义一些公共授权信息。

角色辅助。角色继承并不能完整地描述实际的授权信息，需要对某些角色单独进行权限设置。也就是说角色辅助定义一些特殊的授权。

完整性。只有授权角色才能用所授予的方法来修改数据和过程。

最小权限原则。用户拥有的权利不能超过他执行工作时所需的权限。也就是仅仅授予用户能完成某个任务。

角色激活。一旦创建了某个角色，则在某个特定条件下可以被动态激活。

职责分离。由组织策略决定，对某个特定事物集合，不允许单个角色具有执行该集合中所有事物的权利。分为静态职责分离和动态职责分离。

2、如何给用户分配角色：
对于特殊的用户需求，可以给用户分配权限，如果需要再灵活一点可以加上时间戳，临时权限到期直接作废。

给用户分配角色主要是本着用户能完成其基本工作。可以根据部门等对用户分配不同的角色。

通过这次的讨论对用户权限的认识不再是四个字。值得我们思考的是如何把一个东西做的更灵活，可复用性，扩展性，后续的开发性，可持续发展。