通用数据权限管理系统设计

一： 应用场景：

在实际应用中，数据权限的控制点一般相对固定，如针对公司、部门、个人、客户、供应商等，也就是说数据权限一般针对指定数据类型下的一些数据对象。

例如：某公司有北京生产部、上海生产部和保定生产部，现在需要定义几种角色：

总部总监 -- 能察看所有生产部的产品；

北京生产部经理 -- 只能察看北京生产部的所有产品；

上海生产部经理 -- 只能察看上海生产部的所有产品；

保定生产部经理 -- 只能察看保定生产部的所有产品；
二：角色定义：

上述角色的定义如下：

-------------------------------------------------------------------

角色名称 功能 数据类型 数据对象

-------------------------------------------------------------------

总部总监 察看产品

北京生产部经理 察看产品 部门 北京

上海生产部经理 察看产品 部门 上海

保定生产部经理 察看产品单 部门 保定

-------------------------------------------------------------------



上述定义中，销售总监只定义了功能权限，而没有定义数据权限，所以销售总监能够察看所有的产品；而其他几位经理分别定义了这一功能的数据权限，所以只能察看指定部门的产品。



在实际应用中，往往会出现部门分组，组长能够察看本组所有人员处理的产品的情况，以及某些情况下，某些人只能察看本人的产品的情况，这些特殊情况在上述的说明中无法解决，需要在设计和实现中进行处理。



三：通用数据权限管理系统设计



我们先来看看传统的基于角色的权限管理系统，如下图所示，最简单的基于角色的权限管理由系统功能、系统角色、系统用户、角色功能和用户角色五部分组成。



图一：基于角色的数据库结构

为实现数据权限控制，在设计上对基于角色的权限管理进行扩充，如下图所示：





图二：通用数据权限管理系统数据库设计

对比两张图，我们可以看到，他们之间的主要变化为：

1、 增加系统资源信息和操作类型信息，系统资源为树形结构、如销售模块、销售订单等；操作类型记录可能的操作，如增加、删除、修改、查看、查询等，系统功能是资源与操作类型的组合，对资源的操作就是系统功能。

2、 增加数据对象类型和数据对象两张表，数据对象类型记录系统中需要控制的对象类型，如部门、库房、员工、客户、供应商等；数据对象记录各对象类型的对象实例，如北京销售部、上海销售部、张三、李四等等。（独立保存的好处后面会说到）

3、 增加系统资源与数据对象类型的关联表（多对多），本表为配置表，说明某种资源可能需要的控制点，如销售订单与部门类型的关联可能涉及到分部门分配权限；销售订单与客户的关联可能涉及到按客户分配权限等等。

4、 增加数据对象与角色权限的关联，这张表是真正最终实现数据权限管理的所在地。

通过这种设计，能够最小化地减少对原有权限系统的更改，并且可以很灵活地增加数据的控制点。在产品化软件的设计中使用，能够灵活满足客户的需要。