web业务系统权限控制.docx

: .
web业务系统权限控制文章分类：综合技术
在以往的系统设计中，要么缺乏权限控制，要么就是权限控制: .
web业务系统权限控制文章分类：综合技术
在以往的系统设计中，要么缺乏权限控制，要么就是权限控制很简单，，要么权限控制功能虽然丰富，但是跟业务紧密结合，下面提供一种权限控制模型，将权限控制按功能划分为彼此独立的最小依赖的功能模块，通过合理的部署这些模块，完成权限控制、单独登陆等功能。
系统划分为业务逻辑、权限管理、权限验证、登陆代理、登陆服务、用户管理、业务逻辑数据库、业务权限数据库和用户数据库。
业务逻辑是业务本身。
权限管理负责权限的增、删、查、改，角色的增、删、查、改，用户权限分配，角色权限分配，用户的角色分配。权限管理通过用户管理的用户查询服务来查询用户凭证。
权限验证提供用户权限查询服务。
登陆代理转发登陆请求，保存登陆用户凭据。
登陆服务接收登陆请求，验证用户身份，返回登陆用户凭据。
用户管理负责用户的增、删、查、改，用户组织结构的增、删、查、改。
业务逻辑数据库保存业务数据。
业务权限数据库保存权限数据、角色数据、角色权限数据、用户权限数据、用户角色数据用户数据库保存用户数据、用户组织结构数据。
什么是用户凭证？
用户凭证就是唯一识别用户的标识，通常是用户ID,用户凭证要求任何相同的用户有相同的用户凭证，任何不同用户有不同的用户凭证，用户凭证一旦生成不能重用。使用UUID作为用户凭证是一种可靠的方法，数据库的Sequence也是不错的选择。
权限管理如何独立丁业务逻辑?
以往的设计中权限管理都是与业务逻辑密切联系的，并且经常作为一个整体来设计，权限管理之所以能独立丁业务逻辑，得益与RBA傲限管理理论，参考/
在RBA伽，权限的四个主体是用户、角色、资源、操作，他们
rtn
用户隶届某几个角色，资源和操作成对组成权限，权限分配给角色实现权限控制。
业务系统的所有功能可以分解为操作-资源集合，也就是权限集合，权限管理只需要管理这个集合，而不再需要理解业务逻辑本身，所以权限管理可以独立丁业务逻辑。
权限管理既然独立丁业务逻辑，所以可以灵活部署权限管理。
通常有集中式和分布式两种。
集中式部署将权限管理部署在一个独立的地方，所有业务逻辑共用一个权限管理，因为权限由资源和操作组成，所以通过的不同业务附加资源和操作前缀，可以避免业务系统问权限混淆，集中部署能集中管理，提高管理效率，但是当存在大量的业务系统时，需要很好的分类设计才能区分各个业务系统，增加设计难度。
分布式部署将权限管理同业务逻辑一起部署，这样每个业务系统有单独的权限管理系统，有业务系统增加时，通过增加一个入口连接可以方便转向权限管理，当业务系统分布在各个地域时，这种方式比较有效，但是权限管理本身程序有更新时，要同步到各个系统需要很大的开销。
不管何种部署方式，因为权限管理程序都相同，唯一不同的是权限数据