81,116
社区成员
发帖
与我相关
我的任务
分享求ERP系统权限方案
系统特别需求:
根据组织结构(多层次)控制用户访问资源合法性,
有些需求需要控制到同一页面上某个元素(如某个数据,比如进货价)对不同用户的可见性。
请教各位有何方案或经验,请不吝赐教,谢谢。
根据组织结构(多层次)控制用户访问资源合法性,
有些需求需要控制到同一页面上某个元素(如某个数据,比如进货价)对不同用户的可见性。
请教各位有何方案或经验,请不吝赐教,谢谢。
...全文
请发表友善的回复…
发表回复
whusj 2010-10-21
- 打赏
- 举报
你这种需求我做过,人-角色-资源(菜单)权限分配方案即可解决,页面上的元素(如某个数据,比如进货价)可以配置成资源,可以统一用标签来进行权限控制,人:角色 = 1:n;角色:资源(菜单)= 1:n,给每个角色分配资源,给人配角色就可以轻松实现你想要的权限控制方案。
ntntime 2010-10-20
- 打赏
- 举报
使用RBAC(角色访问控制),它引入了Role的概念,目的是为了隔离User(即动作主体,Subject)与Privilege(权限,表示对Resource的一个操作,即Operation+Resource)。 Role作为一个用户(User)与权限(Privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予Role而不是直接给User或Group。Privilege是权限颗粒,由Operation和Resource组成,表示对Resource的一个Operation。例如,对于新闻的删除操作。Role-Privilege是many-to-many的关系,这就是权限的核心。基于角色的访问控制方法(RBAC)的显著的两大特征是:1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
RBAC又分为:
基于角色的访问控制模型(RBAC)是目前在访问控制领域研究得较为深入的访问控制模型,而基于授权规则的RBAC模型(Rule-based RBAC,简称RB-RBAC)在RBAC模型的基础上增加了用户属性和权限分配规则两个核心概念,提出了自动权限分配的思想,有效降低了大型应用系统中用户-角色关系管理工作的复杂度。不过用户-角色分配仅是权限管理的一个方面,在现实的系统之中,数量庞大的资源如何与权限以及角色进行关联也是一个非常复杂的问题。
这个话题很大,再说的话还要引入ACL的问题,楼主自己去搜索吧,RBAC , ACL。
很好很强大
RBAC又分为:
基于角色的访问控制模型(RBAC)是目前在访问控制领域研究得较为深入的访问控制模型,而基于授权规则的RBAC模型(Rule-based RBAC,简称RB-RBAC)在RBAC模型的基础上增加了用户属性和权限分配规则两个核心概念,提出了自动权限分配的思想,有效降低了大型应用系统中用户-角色关系管理工作的复杂度。不过用户-角色分配仅是权限管理的一个方面,在现实的系统之中,数量庞大的资源如何与权限以及角色进行关联也是一个非常复杂的问题。
这个话题很大,再说的话还要引入ACL的问题,楼主自己去搜索吧,RBAC , ACL。
很好很强大
iiitom 2010-10-19
- 打赏
- 举报
[Quote=引用 4 楼 ntntime 的回复:]
使用SPRING-SECURITY框架
该框架提供了资源、URL、以及方法级别的权限控制
很好用。
[/Quote]
各位是否有自建的方案可供参考。
不要用现成的 spring-security
使用SPRING-SECURITY框架
该框架提供了资源、URL、以及方法级别的权限控制
很好用。
[/Quote]
各位是否有自建的方案可供参考。
不要用现成的 spring-security
ntntime 2010-10-17
- 打赏
- 举报
使用SPRING-SECURITY框架
该框架提供了资源、URL、以及方法级别的权限控制
很好用。
该框架提供了资源、URL、以及方法级别的权限控制
很好用。
iiitom 2010-10-17
- 打赏
- 举报
需要详尽一些的方案,
请帖出具体方案,分数不是问题,不够可以再加。
请帖出具体方案,分数不是问题,不够可以再加。
hchjjun 2010-10-17
- 打赏
- 举报
建立人员,组,角色,权限表,进行人员,组,角色,权限的逐级灵活分配,
茫茫大海 2010-10-17
- 打赏
- 举报
写入数据库,为每个功能条目加一个角色,根据登录用户的角色去显示相应的功能!
