《权限系统---概要设计》由会员分享,可在线阅读,更多相关《权限系统---概要设计(10页珍藏版)》请在金锄头文库上搜索。
1、键入公司名称权限系统改造概要设计产品部 干田2011/11/3在此处键入文档摘要。摘要通常为文档内容的简短概括。在此处键入文档摘要。摘要通常为文档内容的简短概括。目录前言1权限系统需要处理的实际问题1权限系统1结构描述1权限系统里四种元素2操作人员(M)2权限(P)2角色(R)3运算规则3权限的计算3角色的权限计算4组织内的权限计算4权限继承4关系的建立6权限系统的功能描述6权限系统的扩展功能7正向查询7反向查询7人员权限的判定方式7术语表7前言目前5173的权限系统,不少的弊端,例如设置的单一性,无法批量操作,不能满足更多的扩展需求。基于此,本设计主要描述如何重新定义权限的意义,权限的分类,
2、权限的设置,和权限可以解决的实际问题,满足的应用场景,和权限的扩展功能需求。权限系统需要通过一种便捷的、可操作的方式,合理的组织好系统操作与人员之间的关系。通过权限设定,可以精确的规范操作人员可以干什么,不能干什么。通过权限系统的合理规划来验证真实的业务场景,满足对系统操作限制要求较高的应用场合。注:如非特别说明,本文档中所有出现的“系统”二字,均指基于B/S的架构系统,即酷宝后台。权限系统需要处理的实际问题l 合理的规范权限设定。合理指的是将原先的人与权限的直接关联以一种新的方式间接关联起来。间接关联的目的是让为了突出权限的灵活性目的,层级性和可操作性。l 体现一种有序的组织性。松散的个体和
3、独立的权限之间没有明确的组织形式,缺少组织形式在管理上存在非常明显的不足。比如无法清晰了解相同权限的个体,无法处理重复性操作等。l 支持快速性的变更。基于个人和权限的直接关联会导致在无法应对突发的大批量操作。新系统的一个主要目的就是依靠全新的权限逻辑改善这种问题的发生。l 增加权限和操作系统之间的可依赖性。由于权限系统过于独立,导致系统发生改变时,有些权限对应的实际功能遭到废弃。这些被废弃的功能实际上对应的权限也应该被视为废弃。但是现有系统无法通过任何途径得知。权限系统结构描述新的权限系统分为以下几个部分 l 四种元素:人、权限、角色、组织树。l 运算:描述在不同关系场景下权限的计算方式。l
4、权限的继承:描述在不同关系场景下,权限的继承方式。l 关系建立:指在系统中,四种元素以什么样的方式建立彼此的联系。下文将分别介绍这四个部分。权限系统里四种元素操作人员(M)操作人员,即指最终获得权限的实体。在权限系统中,操作人员是已经存在的。不存在对操作人员本身进行的非权限处理。权限(P)权限,对系统中页面或元素的控制能力的描述。通常情况下一个权限对应一个页面或一个(组)页面元素。属性:标识值、权限名、【类型】类型:分为访问权限,操作权限。l 访问权限即某个页面,对其有可访问(查看、打开)的能力。l 操作权限即某种页面元素(按钮、文本框等)的可操作能力,这种能力包括是否可见、是否可操作、操作是
5、否有效三种。特点:权限是彼此独立的个体。不存在相互依赖或有优先级。权限的分类权限涉及的操作分为以下几种l 访问,在系统中特指页面的访问,即操作人员浏览页面的操作。l 点击,在系统中特指页面元素中的按钮点击。l 查看,在系统中特指所有页面元素的可见操作。可以指单一元素,也可以指一组有意义的元素集合。l 输入或选择,在系统中特指文本框、下拉框、多选框、单选框。注:下文中出现的操作无也别指名,均指以上几种。权限在系统中分为“允许”(0)和“不允许”(1)两种。允许表示操作人员对系统的某一操作可以完成。不允许则表示操作人员对系统中的某一操作不可以完成或者操作失败。角色(R)角色,权限集合的体现。一个角
6、色包含一个(组)权限。一个角色包含的所有权限,称为该全色的权限集合。属性:标识值、角色名、权限集合。特点:角色是彼此独立的个体。不存在相互依赖或有优先级。角色分类角色根据所属的不同分为不同角色,包括:独享角色、共享角色、继承角色。l 独享角色,即被指定为某个节点内的角色。可以被多个节点指定。l 共享角色,即被一组节点共同指定的所属角色。一组节点意为同一父节点下的全部子节点。l 继承角色,即角色是由其他节点(父节点、子节点)指定的。组织树(O) 一个组织树包含一个(多个)节点。节点之间有层级关系。依靠节点建立的树型关系结构通常用来描述业务领域内的某种层级表现。每一个节点包含一个(组)角色和操作人
7、员。一个节点的包含的所有角色,称为该节点的角色集合。属性:组织属性描述的是每一个节点的属性。包含标识值、名称、角色集合、操作员集合、【上层节点标识、下层节点标识】。特点:包含层级概念,有上下级区分。运算规则权限的计算权限的常规计算仅有“并”计算这一种。权限无论单个还是多个,结果均是以集合的形式存在。计算规则如下:l 存在权限A、B。则A+B = A, B。l 存在权限集合X=A,Y=B。则X+Y=A,B。l 存在权限集合X=A,B,Y=C,D。则X+Y=A,B,C,D。l 存在权限集合X=A,B,Y=B,C。则X+Y=A,B,C。l 存在权限A,权限集合X=B。则A+X=A,B。角色的权限计算
8、l 单角色权限计算(RP)合并该角色内所有权限集合。例如:某角色内存在权限A、B,则该角色权限即为所有权限的集合,即RP =A+B。l 多角色权限计算(MRP)先以单角色权限计算每个角色的权限,再合并所有角色的权限。即累加求和计算,MRP =Sum(A) A|A= RPn。组织内的权限计算l 节点内角色权限计算(NIRP)即独享权限,是指系统独立附加在该节点上的独享角色。节点内角色参照角色的权限计算方式进行。n 如果一个节点内只有一个角色,则按照单角色的权限计算;n 如果一个节点内角色大于一个,则按照多角色权限计算。NIRP = Sum(X) X|X=RPX=MRP。l 节点外(与上层、与下层
9、)角色权限计算(NORP),参见权限继承权限继承组织树中的每一个节点都存在权限的继承规则,继承的规则有两种:横向继承(共享继承),纵向继承(LRP)。即节点外权限为NORP = LRP + HRP。包含两部分:逆向继承(RRP),顺位继承(ORP),即LRP = RRP+ORP。一、横向继承横向继承(HRP,共享权限继承)共享权限(即共享角色集合权限),发生在组织树的同一父节点的子节点中,是兄弟节点共有的权限。即某层中的兄弟节点中,如有一个节点含有共享角色集合,则其他节点也含有这些角色集合。HRP = Sum(A) A| A= RPn 例如:假设共享权限集合为SP,节点独享权限为RPC,则节点
10、权限集合NP节点A = RPC节点A+SP,NP节点B = RPC节点B+SP二、纵向继承逆向权限继承(RRP)指父节点享有其全部子节点含有的角色(独享、共享)集合的权限。即RRP = NIRP(N子)+HRP例如:子节点独享加共享权限为RPC,则父节点逆向继承权限SP=RPC节点A+RPC节点B。顺位权限继承(ORP)指父节点指定自身的某一个(多个)权限,附加到某一个(多个)子节点上。这里是以权限集合为单位,而不是以角色为单位。并且,顺位权限继承有一定的时效性。即子节点靠顺位继承的权限在规定的时间范围内有效,超出范围则自动失效。ORP = NIRP(N父,t) t|tDate例如:父节点独享
11、权限为RPC,存在RPC,使得RPC,RPC,则节点A的顺位继承权限SP= fA A|A=RPC,父节点关系的建立系统中关系的建立是基于组织树的形式,组织树的结构如下图:对于每一个节点而言,其结构如下图:操作人员权限计算方式Permission(M) = NIRP+HRP+LRP。权限系统的功能描述1, 增、删、改、查权限。2, 增、删、改、查角色。3, 增、删、改、查组织树。4, 增、减角色下权限。5, 增、减组织树内节点下角色。6, 增、减组织树内节点下人员。7, 增、删、改、查横向(共享)角色。8, 增、删、改、查纵向(逆向、顺位)角色与权限。9, 权限废弃的查询(正向、反向)。权限系统
12、的扩展功能正向查询通过用户进行的权限设定,判断出哪些按钮、页面等已经遭到废弃。正向查询规则1. 存在PARP,则这个权限视为无效,权限对应的操作、页面被视为废弃。2. 存在RAOR,则这个角色被视为无效,这个角色下权限参照规则1进行查询,判断其是否有效。注:有效组织节点,即组织任意节点下有至少一个角色。有效角色,即该角色至少所属一个组织下节点内。有效权限,即该权限至少所属一个有效角色内。反向查询通过系统的技术架构,查找出哪些按钮、页面等已经遭到废弃。反向查询规则假设无效的权限集合S = AP-SP。如果存在PS,则该权限视为无效,权限对应的操作、页面被视为废弃。人员权限的判定方式存在人员M含有
13、的操作权限集合为N,存在权限p,当M试图进行关于p涉及的操作时,进行权限判定。判断权限即判定p是否存在于M的权限集合。满足下面公式fp为1时,权限存在,即操作允许;fp为0时,权限不存在,即操作不允许。fx=1,xN0,xN术语表P,权限。AP,所有权限集合。ARP,所有有角色所属的权限集合。SP,系统实际使用的权限集合。RPC,既存特指某种权限集合。R,角色。AR,所有存在的角色集合。AOR,所有节点所属的角色集合。RPn,一个角色的权限。 RPn,一组角色的权限集合。O,组织树。N,节点。NP,节点权限集合。【】,待定的描述,不一定需要出现在最终实现中。推进学校内涵建设深化年各项工作和“三乐两校”主题教育活动的开展,进一步繁荣校园文化,搭建具有时代特征大学生特点的文化艺术活动平台,促进学院间师生的友谊
