后台的用户权限设计要根据对象和业务设计,使用的对象决定了后台的角色范围,涉及到的业务决定了权限范围。通常在后台设计前都需要跟各个业务部门了解不同角色负责的业务范围,然后再根据这些角色来划分权限范围。
现在主流的权限系统是基于用户角色分配权限,也就是RBAC,RBAC把所有使用系统的用户都归类到某一角色下,然后这一角色包含什么权限,这个角色下的用户就会有什么权限。
RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作”。
Who:权限的拥用者或主体(如Principal、User、Group、Role、Actor等等)
What:权限针对的对象或资源(Resource、Class)。
How:具体的权限(Privilege,正向授权与负向授权)。
Operator:操作。表明对What的How操作。也就是Privilege+Resource
Role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离User与Privilege的逻辑关系.
Group:用户组,权限分配的单位与载体。权限不考虑分配给特定的用户而给组。组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限。User与Group是多对多的关系。Group可以层次化,以满足不同层级权限控制的要求。
简单的基于角色的权限控制图解如下:
最后一句话总结,后台权限设计就是要搞清楚让谁做什么怎么做,搞清楚这一点,权限基本上就可以理清楚了。