⑴ 如何高效的開發一個系統
首先來說, 不同職責的人員,對於系統操作的許可權迎該是不同的。一個優秀的業務系統,這是最基本的功能。 其次, 可以對「組」進行許可權分配。對於一個大企業的業務系統來說,如果要求管理員為其下員工逐一分配系統操作許可權的話,是件耗時且不夠方便的事情。所以,系統中就提出了對「組」進行操作的概念,將許可權一致的人員編入同一組,然後對該組進行許可權分配。 再者, 許可權管理系統迎該是可擴展的。它迎該可以加入到任何帶有許可權管理功能的系統中。就像是組件一樣的可以被不斷的重用,而不是每開發一套管理系統,就要針對許可權管理部分進行重新開發。 然後,一個挺重要的, 滿足業務系統中的功能許可權。傳統業務系統中,存在著兩種許可權管理,其一是功能許可權的管理,而另外一種則是資源許可權的管理,在不同系統之間,功能許可權是可以重用的,而資源許可權則不能。 摘來的--------------------------------- 針對OA系統的特點,許可權說明:許可權在系統中,許可權通過模塊+動作來產生,模塊就是整個系統中的一個子模塊,可能對迎一個菜單,動作也就是整個模塊中(在B/S系統中也就是一個頁面的所有操作,比如「瀏覽、添加、修改、刪除」等)。將模塊與之組合可以產生此模塊下的所有許可權。許可權組為了更方便的許可權的管理,另將一個模塊下的所有許可權組合一起,組成一個「許可權組」,也就是一個模塊管理許可權,包括所有基本許可權操作。比如一個許可權組(用戶管理),包括用戶的瀏覽、添加、刪除、修改、審核等操作許可權,一個許可權組也是一個許可權。角色許可權的集合,角色與角色之間屬於平級關系,可以將基本許可權或許可權組添加到一個角色中,用於方便許可權的分配。用戶組將某一類型的人、具有相同特徵人組合一起的集合體。通過對組授予許可權(角色),快速使一類人具有相同的許可權,來簡化對用戶授予許可權的繁瑣性、耗時性。用戶組的劃分,可以按職位、項目或其它來實現。用戶可以屬於某一個組或多個組。通過給某個人賦予許可權,有4種方式(參考飛思辦公系統)A. 通過職位a) 在職位中,職位成員的許可權繼承當前所在職位的許可權,對於下級職位擁有的許可權不可繼承。b) 實例中:如前台這個職位,對於考勤查詢有許可權,則可以通過對前台這個職位設置考勤查詢的瀏覽權,使他們有使用這個對象的許可權,然後再設置個,考勤查詢權(當然也可以不設置,默認能進此模塊的就能查詢),則所有前台人員都擁有考勤查詢的權利。B. 通過項目a) 在項目中,項目成員的許可權來自於所在項目的許可權,他們同樣不能繼承下級項目的許可權,而對於項目組長,他對項目有全權,對下級項目也一樣。b) 實例中:在項目中,項目成員可以對項目中上傳文檔,查看本項目的文檔可以通過對項目設置一個對於本項目的瀏覽權來實現進口,這樣每個成員能訪問這個項目了,再加上項目文檔的上傳權和查看文檔權即可。c) 對於組長,因為可以賦予組長一個組長權(組長權是個特殊的許可權,它包含其他各種許可權的一個許可權包),所有組長對於本項目有全權,則項目組長可以對於項目文檔查看,審批,刪除,恢復等,這些許可權對於本項目的下級項目依然有效。C. 通過角色a) 角色中的成員繼承角色的許可權,角色與角色沒有上下級關系,他們是平行的。通過角色賦予許可權,是指沒辦法按職位或項目的分類來賦予許可權的另一種方式,如:系統管理員,資料備份員…b) 實例中:對於本系統中,全體人員迎該默認都有的模塊,如我的郵件,我的文檔,我的日誌,我的考勤……,這些模塊系統成員都迎該有的,我們建立一個角色為系統默認角色,把所有默認訪問的模塊的瀏覽權加入到裡面去,則系統成員都能訪問這些模塊。D. 直接指定a) 直接指定是通過對某個人具體指定一項許可權,使其有使用這個許可權的能力。直接指定是角色指定的一個簡化版,為了是在建立像某個項目的組長這種角色時,省略創建角色這一個步驟,使們色不至於過多。b) 實例中:指定某個項目的組長,把組長權指定給某個人。針對職位、項目組:如果用添加新員工,員工調換職位、項目組,滿足了員工會自動繼承所在職位、項目組的許可權,不需要重新分配許可權的功能。用戶管理用戶可以屬於某一個或多個用戶組,可以通過對用戶組授權,來對組中的所有用戶進行許可權的授予。一個用戶可以屬於多個項目組,或擔任多個職位。授權管理將一個基本許可權或角色授予用戶或用戶組,使用戶或用戶組擁有授予許可權的字元串,如果角色、職位、項目中存在相同的基本許可權,則取其中的一個;如脫離角色、職位、項目組,只是取消用戶或用戶組的中此角色、職位、項目組所授予的許可權。用戶所擁有的許可權是所有途徑授予許可權的集合。管理員用戶可以查看每個用戶的最終許可權列表。許可權管理基本操作許可權與許可權組(基本操作許可權的集合)的管理。 OA許可權管理設計的實現 物理數據模型圖如下: 物理數據模型圖 根據議嫦設計思想許可權管理總共諺要以下基本表:tb_User:用戶邪琚基本表;tb_Department:部門表;tb_Company:公司表;tb_Mole:系統模塊表;tb_Action:系統中所有操作的動作表;tb_Permit:由tb_Mole與tb_Action兩表結合產生的系統基本許可權表;tb_Permit_Group:許可權組表,將一模塊的中的所有許可權劃分一個許可權組中,可以通過許可權組授予用戶許可權;tb_Role:角色表,基本許可權的集合。無上級與下級之分;tb_Position:職位表,有上級與下級之分;tb_Project:項目組表,tb_Role_Permit:角色授權表;tb_Postion_Permit:職位授權表;tb_Project_Permit:項目授權表;tb_Project_User:項目成員表,IsLead欄位代表此成員為項目組長;tb_Postion_User:職位成員表;tb_User_Permit:用戶授權表,用戶ID與角色、職位、項目及直接授予的許可權串表;許可權的產生:由tb_Mole中的MoleCode與tb_Action中的ActionCode組成許可權代碼PermitCode=MoleCode+ActionCode。實例:MoleCode=0101,ActionCode=01則PermitCode=。許可權值則有MoleValue與ActionCode組合而成,採用下劃線來連接。實例:MoleValue=Sys_UserActionValue=AdD,PermitValue= Sys_User_Add許可權組:包括一組同一模塊下的許可權的組合,如管理用戶包括基本的許可權:添加、刪除、修改、查看等,將這些組合起來構成一個用戶組——「用戶管理」許可權組。其它類似。只是為了更方便的查看系統許可權與許可權的分配。實例:如管理用戶的許可權代碼為à查看用戶,à添加酌戶à刪除用戶,à修改用戶,à審核用戶等,將這些基本許可權組合起來一個集合而構成了「用戶管理」許可權組。角色、職位、項目:也就是按特定的需要劃分一種許可權的集合。使用角色授權表、職位授權表、項目授權表來實現。授權表中存放的是許可權代碼PermitCode而不是許可權組的GroupCode代碼。用戶授權:由用戶授權表來實現,用戶授權表中的RoleCode、PositionCode、ProjectCode分別是角色表中RoleCode組成的串、職位表PositionCode組成的串、ProjectCode組成的串。與角色授權表中的角色代碼RoleCode、職位授權表中PositionCode、項目授權表中的ProjectCode不對迎(不是主表與從表之間外鍵關系)。從而能夠實現了一個用戶可以擁有多個角色、多個職位、多個項目的情況。用戶授權表中的PermitCode為直接授權的許可權代碼串,直接給用戶分配許可權。實例:用戶ID為UserId=1的用戶許可權授權表的記錄為:RoleCode=001003PostionCode = 001002ProjectCode=001005PermitCode = 表明此用戶擁有兩個角色,代碼為001和003,並繼承這兩個角色的許可權;擔任兩個職位,代碼為001與002,並繼承兩個職位的許可權;屬於兩個項目組中的成員,項目代碼為001與005,並繼承兩個項目中的許可權。直接指定給用戶的許可權為與這兩個許可權代碼的許可權用戶許可權字元串:根據用戶授權表的角色代碼、職位代碼、項目代碼得到許可權字元串及表中直接分配的許可權字元串組合成一個用戶的所有許可權字元串集合。