系统分析师：系统权限设计概述[6]

  对于一个新闻系统（Resouce），假设它有这样的功能（Privilege）：查看，发布，删除，修改；假设对于删除，有“新闻系统管理者只能删除一月前发布的，而超级管理员可删除所有的这样的限制，这属于业务逻辑（Business logic），而不属于用户权限范围。也就是说权限负责有没有删除的Permission，至于能删除哪些内容应该根据UserRole or UserGroup来决定（当然给UserRole or UserGroup分配权限时就应该包含上面两条业务逻辑）。

  一个用户可以拥有多种角色，但同一时刻用户只能用一种角色进入系统。角色的划分方法可以根据实际情况划分，按部门或机构进行划分的，至于角色拥有多少权限，这就看系统管理员赋给他多少的权限了。用户—角色—权限的关键是角色。用户登录时是以用户和角色两种属性进行登录的（因为一个用户可以拥有多种角色，但同一时刻只能扮演一种角色），根据角色得到用户的权限，登录后进行初始化。这其中的技巧是同一时刻某一用户只能用一种角色进行登录。

  针对不同的角色动态的建立不同的组，每个项目建立一个单独的Group，对于新的项目，建立新的 Group 即可。在权限判断部分，应在商业方法上予以控制。比如：不同用户的”操作能力“是不同的（粗粒度的控制应能满足要求），不同用户的”可视区域“是不同的（体现在对被操作的对象的权限数据，是否允许当前用户访问，这需要对业务数据建模的时候考虑权限控制需要）。

  扩展性：

  有了用户/权限管理的基本框架，Who（User/Group）的概念是不会经常需要扩展的。变化的可能是系统中引入新的 What （新的Resource类型）或者新的How（新的操作方式）。那在三个基本概念中，仅在Permission上进行扩展是不够的。这样的设计中Permission实质上解决了How 的问题，即表示了”怎样“的操作。那么这个”怎样“是在哪一个层次上的定义呢？将Permission定义在”商业方法“级别比较合适。比如，发布、购买、取消。每一个商业方法可以意味着用户进行的一个”动作“。定义在商业逻辑的层次上，一方面保证了数据访问代码的”纯洁性“，另一方面在功能上也是”足够“的。也就是说，对更低层次，能自由的访问数据，对更高层次，也能比较精细的控制权限。

  确定了Permission定义的合适层次，更进一步，能够发现Permission实际上还隐含了What的概念。也就是说，对于What的How操作才会是一个完整的Operator。比如，”发布“操作，隐含了”信息“的”发布“概念，而对于”商品“而言发布操作是没有意义的。同样的，”购买“操作，隐含了”商品“的”购买“概念。这里的绑定还体现在大量通用的同名的操作上，比如，需要区分”商品的删除“与”信息的删除“这两个同名为”删除“的不同操作。

  提供权限系统的扩展能力是在Operator （Resource + Permission）的概念上进行扩展。Proxy 模式是一个非常合适的实现方式。实现大致如下：在业务逻辑层（EJB Session Facade [Stateful SessionBean]中），取得该商业方法的Methodname，再根据Classname和 Methodname 检索Operator 数据，然后依据这个Operator信息和Stateful中保存的User信息判断当前用户是否具备该方法的操作权限。

  应用在 EJB 模式下，可以定义一个很明确的 Business层次，而一个Business 可能意味着不同的视图，当多个视图都对应于一个业务逻辑的时候，比如，Swing Client以及 Jsp Client 访问的是同一个 EJB 实现的 Business。在 Business 层上应用权限较能提供集中的控制能力。实际上，如果权限系统提供了查询能力，那么会发现，在视图层次已经可以不去理解权限，它只需要根据查询结果控制界面就可以了。

[1]  [2]  [3]  [4]  [5]  [6]  [7]  [8]  [9]  [10]