權限設計
大概有這幾種模式:
用戶+組+角色+權限
用戶+組+權限
用戶+角色+權限
用戶+權限
最近看了別人的設計方法,大多以“整數”來表示權限值,如添加、浏覽、刪除和修改,分別用1、2、4、8這幾個整數來代替,不過,各人的做法有所不同,舉例如下:
1.用2的n次冪組成權限值的集合,如1、2、4、8、16...,某用戶的權限值為其子集中的整數之和,如 7=1+2+4,5=1+4。如果要從數據庫檢索包含某幾種權限的用戶,則先把這幾種權限值相加,假設和為k,然後select * from table where 1 and 用戶權限值 = ’k’;如果要判斷某用戶有哪些權限,則取出其權限值k,分別用k&1,K&2,K&4,k&16...,如果為真,則表示有值等於“&”右邊整數的權限,例如,如果k&4為真,則此用戶有權限表中值等於4的權限;
2.用質數2、3、5、7、11...組成權限集合,某用戶的權限為其子集中各整數的乘積,如 210 = 2*3*5*7,我覺得這種方法很有趣,難點在於如何分解質因數;但我有些不認同原作者的提法,他認為權限之間可能存在包含關系,如某用戶有刪除權限,則其一定有浏覽權限,要不然就沒法刪除,事實確實是這樣,不過我認為這樣太復雜了,容易出錯,我覺得權限最好是“原子”的,互不干擾,也就是說某用戶有刪除權限而沒浏覽權限則其無法進行刪除操作,因為他看不到東西,解決這個矛盾的關鍵是在給用戶賦權時,把浏覽權限也賦給他;
3.不用整數,而是用“向量表”方法(也許我說的不一定對),把所有可能的權限按一定的順序排列,如添加、浏覽、修改、刪除...,用戶的權限值為固定100位長度的字符串,如100010100001....01,從左起每一位對應一種操作權限,如果有這種權限,則此位的值為1,反之,則為0,作者之所以把用戶權限值固定為100位,我想是考慮到升級問題,但我認為這還不夠科學,我認為用戶的權限值長度應小於權限個數,舉例如下:
權限排列表:添加、浏覽、修改、刪除,用戶A有添加和浏覽的的權限,則其權限值為11,用戶B有浏覽和修改的權限則其權限值為011,用戶C有浏覽和刪除的權限則其權限值為0101,這樣設計的好處為:當權限表中增加別的權限時,不會影響用戶表或角色表;
4.我曾經的做法,在後台管理中把權限分為兩大類:欄目權限和操作權限,每個欄目對應一個目錄,操作權限細分為浏覽、添加、修改和刪除,用戶進入系統後首先判斷有沒有欄目權限,然後判斷有沒有操作權限,判斷欄目權限相對簡單一些,首先獲取訪問頁面的路徑path,然後分解出目錄,對應用戶擁有的目錄權限,如果此目錄包含在用戶有權管理的目錄數組中(從數據庫取出),則其有進入此目錄的權限,否則,沒有,然而,在判斷操作權限好象有些麻煩,但突然想到添加、浏覽、修改和刪除與我的文件命名規則是基本是對應的,但有點不同的是,我把添加和刪除的功能合並在一個文件中了,例如文件名為proAddEdit.php,幸好意識到修改文件時多了個傳遞參數id,於是,我用正則解決了這個問題,今天看來,這種方法似乎過時了,因為不適應面向對象的思想和用框架體系來開發系統!
以上是個人粗淺的認識和描述,若有錯誤,請各位指正,希望高人給些意見!
