数据权限是基于角色还是用户?

Sam_Deep_Thinking

Java领域新星创作者

博客专家认证

2010-08-11 03:40:05

目前数据权限的大概需求如下:
 监督员默认只可以看见自己的数据,但经过授权后可以看到其他监督员的数据
 A部门部长默认只能看到A部门的数据,但经过授权后可以看到其他部门的数据
 分管领导只能看到分管部门的数据
 站长可以看到所有的数据

目前我的做法是基于用户的,使用ACL来做的。
就是会建立一张ACL表,记录数据授权情况。如：
acl表
----------------------------------------------
id userId principalId principalType
1 zhangsan zhangsan person
2 zhangsan lisi person
3 zhangsan dept1 department

上面的数据表示
zhangsan这个人可以看到自己、李四和dept1这个部门的数据。
然后提供一个授权界面,界面原型大概如下：

自己
用户----->弹出人员列表
部门----->弹出部门列表
所有

这样的话,系统管理员就可以勾选自己、某个人、某个部门的形式来给用户进行数据授权。授权的情况就
存放到ACL表中去。

我问的是：
第一、我上面的基于用户的做法可以做到吗?有什么致命缺陷没?
第二、数据权限一般来说是基于角色还是用户的。基于角色的有什么好处?

...全文

747 10 打赏收藏转发到动态举报

写回复

10 条回复

切换为时间正序

请发表友善的回复…

发表回复

伞刀 2010-08-13

打赏
举报

回复

用户继承角色的权限，也可为用记另行设置权限

Sam_Deep_Thinking 2010-08-13

打赏
举报

回复

使用角色的话，如何实现我上面的需求呢？
要定义哪几种角色？

Xiaoloveliuforever 2010-08-11

打赏
举报

回复

角色这还用怀疑啊

accessmanager88 2010-08-11

打赏
举报

回复

应该是基于策略，不应该是基于用户或者角色。

因为基于用户，那么设置起来就太复杂了，而且维护量大。
基于角色的话，对于有些系统能搞定，维护量也有那么大，代码里面也有很多判断工作。比如总公司人力资源经理，分公司人力资源经理（有的时候还要拆分为北京分公司人力资源经理、上海分公司人力资源经理.....）可见复杂度。

建议使用开源软件ralasafe， http://www.ralasafe.com/zh 国产的开源中间件，而不是框架，对你的应用和数据库都没有要求。在银行和电信都有应用案例。

sxb372435741 2010-08-11

打赏
举报

回复

应该是角色吧！因为用户也是角色嘛！

dr_lou 2010-08-11

打赏
举报

回复

权限->角色<-用户

应对两边修改时，大面积更新问题。

coolbamboo2008 2010-08-11

打赏
举报

回复

如果突然增加了100个同一个角色的用户，你要为他们设置权限的话……不觉得很累么

zheng_j_c 2010-08-11

打赏
举报

回复

大部分都是基于角色！

xutao_2008_2000 2010-08-11

打赏
举报

回复

当然要基于角色,这样可以无限扩展.你这样,业务稍有变动,你真个结构都得变

RBAC（Role-Based Access Control）即：基于角色的权限控制。通过角色关联用户，角色关联权限的方式间接赋予用户权限。在RBAC模型里面，有3个基础组成部分，分别是：用户、角色和权限。 RBAC通过定义角色的权限，并对用户授予某个角色从而来控制用户的权限，实现了用户和权限的逻辑分离，极大地方便了权限的管理。 User（用户）：每个用户都有唯一的UID识别，并被授予不同的角色。 Role（角色）：不同角色具有不同的权限。 Permission（权限）：访问权限。用户-角色映射：用户

数据权限是指用户是否能够看到某些数据。说的通俗点就是设置用户只能查看哪些数据，这就是数据权限，主要应用在数据有保密要求或数据量大或数据非常敏感的，需按用户或角色来进行区分时，例如：财务主管在后台可以看到公司所有人的工资流水，但普通员工只能看到自己的工资流水。在这里可能有的同学或许认为：既然我们的权限是跟角色关联，为什么“查看工资流水”这个权限精确到每个用户了呢？

数据权限是否应该与角色绑定数据权限一些主要的概念为什么我想写这么一个记录矛盾的来源我梳理的方案打工路上的成长数据权限在业务系统中，我们常常会有多种角色比如:系统管理员、项目管理员、普通用户等，不同的人员会依据各自业务的需要，拥有不同的资源的数据权限（用户A可以看见项目P1，P2; 用户B则中看见项目P2）。这些资源的分配和菜单权限不同，往往与我们的业务紧密相连。并且每当业务系统多新增一种资源，都需要我们考虑到新增资源的数据控制。针对数据权限业内一直也没有一个统一的框架或者方案（像shiro控制菜单权限这

安聚尼股份有限公司 2017-08-25 09:55 基于角色的用户权限管理一般在任何项目中都是一个必不可少的功能。在此设计里，主要有用户、角色两个方面，角色需要有动态，用户的角色分配，用户与角色之间是多对多或一对多的关系，数据库表设计如下：一、数据库表设计 1、User（用户表）：记录用户的基本信息 -- Table "user" DDL CREATE TABLE `us

RBAC权限模型定义 RBAC（Role-Based Access Control）权限模型的概念，即：基于角色的权限控制。通过角色关联用户，角色关联权限的方式间接赋予用户权限。传统的RBAC权限模型用户—角色—权限多对多的关系。权限修改只需对角色的关联权限进行修改。若多身份，只需多用户进行多角色赋予即可。权限通过角色来赋予至用户，使得用户即使发生变更、离职也不会影响权限本身的稳定性。经典的W型RBAC权限模型基于RBAC权限模型的SaaS系统用户权限： SaaS系

67,513

社区成员

225,879

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章