数据库篇(数据库设计) ---权限系统设计

最新推荐文章于 2025-11-26 20:08:04 发布
原创 最新推荐文章于 2025-11-26 20:08:04 发布 · 9.9k 阅读 · 52 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库设计 #权限系统设计

本文深入解析权限管理系统设计,涵盖菜单功能权限与数据权限控制两大核心。详述用户-权限、用户-角色-权限及用户-用户组-角色-权限模型,探讨数据隔离策略,为系统安全提供全面指导。

目录

概述

菜单功能权限控制

用户-权限

用户-角色-权限

 用户-用户组-角色-权限

数据权限控制

概述

    权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。

    权限管理几乎出现在任何系统里面,只要有用户和密码的系统。 很多人常将“用户身份认证”、“密码加密”、“系统管理”等

    概念与权限管理概念混淆。一个(ERP)系统中没有权限进行管理,就像躯体没有了灵魂,没有任何控制,行尸走肉一

    般,无论功能设计的多么完美,白搭。

    依据我现有的浅薄认知,我认为权限从控制作用上来划分成两类:

  1. 菜单功能权限控制
  2. 数据权限控制

菜单功能权限控制

    声明一下:菜单功能权限控制不单单是对菜单的展示和控制,还包括菜单页面上的功能控制,细分到每一个按钮链接操作,

    有些人只有查看权限,有些人可以修改,具体不同的人员可以查看到不同的数据,就交由数据权限控制。

    说起菜单权限,RBAC是目前最-最-最为广泛接受的权限模型。我们从简单的开始说起。

用户-权限

    每个用户和每个权限进行多对多的关联

    数据库:人员表-人员权限关联表-权限表
    这种设计比较简单,一般不用。

用户-角色-权限

    当我们需要管理很多权限的时候,有些权限可以分成组以功能模块进行赋权限。这个时候角色就是一些权限的集合。

    比如机构管理的增删改可以放到一个角色中,只需要将改角色和某个人关联就能把增删改都赋予这个人。

    在这个模型中,我们把权限赋予角色,再把角色赋予用户。用户和角色,角色和权限都是多对多的关系。

    用户拥有的权限等于他所有的角色持有权限之和。

     数据库表设计:

 用户-用户组-角色-权限

    当用户的数量非常大时,要给系统每个用户逐一授权(授角色),是件非常烦琐的事情。这时,就需要给用户分组,

    每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户

    个人拥有的权限与该用户所在用户组拥有的权限之和。(下图为用户组、用户与角色三者的关联关系)

     数据库设计:

     这个时候发现,我用户没有和权限进行关联,为什么不关联呢?不是不可以,是根据业务场景来,基本上一个

     用户所拥有的权限来源于他的职责范围,而职责范围是一个权限的集合,而且,业务系统中这种场景不多,并且

     可以通过再次新建一个角色进行关联单独解决。如果有业务需要,增加一个用户-权限表就可以了。

数据权限控制

    当我们查询敏感数据时候,每个人对某个表都有查询权限,但是部门人员只能查询本部门的数据,但是总部可以

    查询所有的,这个时候就要涉及到数据权限隔离。

    首先,人员或者组我们可以使用以上功能权限的表格数据,对不同的功能数据类型进行不同的控制,这个时候需要

    一张功能表,一张组/用户-数据表(通过标识区分用户或者租),用来记录数据权限。

     其中数据类型可以存放到字典中,主要是功能的一个唯一标识。大体上我们可以分为4个主要对象:

     用户,关联表,系统数据,功能。

 

    数据来源是系统中各个表格的待查询类型数据。例如我们查询个人工资数据,每个人只能查询自己的,这个可以

    做名称条件限制,但是各个部门人力资源需要知道部门内人员的薪资数据,总公司可以查询到全部的数据。我们

    可以将薪资数据查询作为一个功能类型-01(薪资查询)存放到字典中,然后将部门作为另一个类型从系统中部门

    表读取,并根据不同的部门分配不同的部门数据(如果还需要根据其他其他类型做区分,只需要增加组/用户-数据

    表字段就可以了,例如只能看到某一职级人员,不能看到老总那个职级的数据,就可以把职级也添加成一个条件)。

 

建议组/用户-数据表的设计.(id,用户或者组id,用户或者组标识,数据类型(例如:部门),功能类型(01-薪资查询),扩展1(职级数据),….)

Coder_Light
关注
4.2 图书借阅系统数据库设计 --MySQL
天罡gg的专栏
04-11 4万+
大家好,我是天罡gg,一个有十多年丰富经验的高级架构师,参与过很多系统的数据库设计,在数据库设计方面有相当丰富的经验。正赶上这实战专栏的数据库设计,所以今天让我们来一起做一下《图书借阅系统的数据库设计》,一既有理论知识,又能实战落地的数据库设计!本文从【需求分析】开始,到【概念结构设计】的画ER图, 再到【逻辑结构设计】的ER图转关系模型,最后到【物理结构设计】的MySQL表设计, 再加上【具体业务分析】的SQL实现,你是不是已经怀疑真有这么齐全吗?你没看错,全文HTML统计1万3千多字。
万字长文,SpringSecurity
mySoul
06-30 1348
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
通用权限数据库设计,PowerDesigner
11-03
1、 抽象——总体思路。 先看这个ER图。 很简单,就是说明一下人员和资源的关系,一个人可以使用多个资源,一个资源可以被多个人使用,就是多对多的关系了。 不知道这个是不是可以叫做“抽象”。这个就是在金字塔的顶端来看权限了,站在顶端来看,就这么一点,估计没有那种情况可以逃出这个描述吧。 资源:这里指的资源是广义上的资源,包括很多的东东,模块、数据,菜单、节点、按钮、控件,表、字段、存储过程,页面、窗口、表单、图表、报表,什么都可以算作是一种资源。您也可以把您遇到的一些情况都来算作是一种资源。关于资源先说这些,下面还有详细的说明。 2、 加入权限 第一个图也太简单了,我们把他详细一下,把人员分成两个表——人员基本信息和登录信息,在加入“权限”。就是下面这个表了。 人员分成两个表可以应对很多的情况,比如一个人可以有多个登录帐号,人员基本信息还可以和其他的表相关联,登录方面的需求有什么变化的话,只需要修改登录信息表就可以了,不会影响人员基本信息表,不会让其越来越臃肿。 以前对于“权限”是很模糊的,似有似无的感觉,现在看来他其实就是一个多对多的关联表,呵呵。当然您可以说我的这个看法不对,呵呵,我只是说一下我的感觉。 3、 加入角色 第二个图,是把帐号的资源直接联系起来,这个有一个不方便的地方,比如有五个业务员他们的功能都是一样的,但是我们却需要做五遍一样的操作才能给这五个业务员设置好权限,而当业务员可以做的事情有变化的时候,我就又需要做五次相同的操作,这个就很麻烦了,所以引用了“角色”。 我们可以建立一个业务员角色,设置业务员角色可以做的事情,然后把五个业务员和业务员角色关联起来。这样就方便了,业务员可以做得事情有变化的时候,我只需要修改业务员角色可以做得事情就可以了。 您可能会问,客户的人少,每个人做得事情都不一样,这个怎么办呀? 这也好办呀,一个人一个角色就可以了。虽然对于这种情况多用了一个角色,有点绕远的感觉,但是总体来说是可以接受的。角色初期设置一下就可以了,角色和人员“绑定”之后,修改角色可以做什么事情,和修改人员可以做什么事情,操作步骤都是一样的。 您可能又问了,客户是一个很大的公司,设置了n个角色之后,客户提出了一个需求:张三这个人比较特殊,他可以做XX事情,但是有没有对应的角色,也不想再多设置一个角色了,需要直接给张三设置可以做这件事情就可以了。 这个又要怎么处理呢?是不是要修改表结构了呢?我是不想改的,还是用角色绑定的方法来处理,增加一个“张三专用角色”,这个角色是“隐藏”的,不和其他的角色一样的管理,需要通过对“张三”来管理。这个好像说不太清楚,先这样吧,呵呵。 4、 表关联图 我觉得ER图就是ER图,不能代替表关系图,所以我就又做了一个表关系图。 【图四】 左面从上往下看,人员、登录帐号、角色、资源,右面是两个多对多的关联表。这个看起来就比较清晰了吧。 这个设计还可以吧,资源保罗万象什么都可以往里放,您可以展开您的联想,帮想到的东东都放进去就可以了。 这个图从设计的角度来说应该是挺简洁的,五六个表就搞定了。而且也可以适合很大的范围,因为那个资源的定义实在是太广泛了,到了无所不包的程度了。但是这个设计真的好吗?或者是实用吗? .......
权限数据库设计
04-23
通用权限管理mysql数据库设计脚本,包括用户、角色、权限以及用户组等
四种方案讲清楚,数据权限该如何设计
最新发布
IT_1024的博客
11-26 377
在数字化系统的权限架构演进中,用户、角色、菜单始终构成权限管理的三位一体基础框架。随着企业治理进入精细化阶段,传统RBAC模型在应对多维数据管控需求时日益显现其局限性。基于此,"功能权限-数据权限-审批权限"的三元权限体系逐渐成为行业最佳实践,其中数据权限因其与业务场景的高度耦合性,成为系统架构设计中的关键突破点。本文将系统解构四种典型数据权限实现方案,揭示灵活高效的数据权限建模方法论。
Java权限管理系统之数据库设计(一)
随缘的博客
11-28 5052
一、概述 1、用户权限是任何一个应用程序的基础模块,是为应用程序提供安全访问规则的实现,用于保障系统的安全和数据安全基础。本次主要实现 一个基于角色的用户权限管理系统,后端采用Springboot与Shiro整合实现权限认证管理。 2、名词解释: 用户(User):是软件系统使用者的系统账号。每个使用者,都有自己在系统中独一无二的账号,系统通过这个账号来识别不同的使用者,同时,也...
权限系统功能模块设计主流的九种常见权限模型
热门推荐
gnwu1111的专栏
11-30 1万+
软件系统的权限控制几乎是非常常见且必备的,这文章整理下常见的九种模型,几乎基本够你用了,主流的权限模型主要有以下9种:1、ACL模型访问控制列表2、DAC模型自主访问控制3、MAC模型强制访问控制4、ABAC模型基于属性的访问控制,更灵活复杂5、RBAC模型基于角色的权限访问控制,最常用6、TBAC模型基于任务和工作流的访问控制7、T-RBAC模型基于任务和角色的访问控制8、OBAC模型基于对象的访问控制9、UCON模型使用控制模型。
权限设计(转)
weixin_30610755的博客
07-05 362
在任何系统中,权限设计是最基础的东西,本文给出一个基于角色的权限设计的循序渐进的设计方案。   在权限系统中,功能(权限)是最小的单位,比如起草新闻、编辑新闻、审核新闻、删除新闻等,而角色是一类功能的集合,比如新闻编辑这个角色,他可能有起草新闻、编辑新闻等功能集合,而责任编辑他可能就有更多的权限,比如除了新闻编辑的功能,还有审核新闻、删除新闻等功能,给张三赋予新闻编辑的角色(其实我更...
转贴:权限系统设计
xxj123x的专栏
07-14 1219
权限系统(1)--基本模式在系统中发生的事情,抽象的说都是某个主体(subject)在某个资源(resource)上执行了某个操作(operation)。subject --[operation]--> resource 所谓权限管理,就是在这条信息传递路径中加上一些限制性控制。主体试图去做的 limited by 系统允许主体去做的 = 主体实际做的。可以看到,权限控制基本对应于filter模式
精选资源
数据库设计开发规范-阿里.pdf.zip
02-09
数据库设计与开发规范是软件开发过程中的重要环节,特别是在大型企业如阿里巴巴这样的环境中,严谨的数据库设计规范能够确保系统的高效、稳定和可扩展性。以下是对"数据库设计开发规范-阿里.pdf.zip"文件内容的详细...
复杂系统中的用户权限数据库设计解决方案
09-10
设计复杂系统中的用户权限数据库时,首要目标是确保系统安全性和访问控制的有效性。在B/S(Browser/Server)系统中,由于用户通过浏览器访问,权限管理显得尤为重要,因为它能防止未经授权的用户访问敏感信息或...
精选资源
数据库课程设计 餐厅管理系统-源代码+实验报告+数据库
06-30
基于数据库课程的餐厅管理系统,包含完整源代码、.pro文件及课程设计报告。...有管理员和顾客登录权限,后端语言采用C++,功能丰富,适合于新手练习及大学生数据库课程设计。需要本人的数据库请私信!
精选资源
图书管理系统数据库设计-MYSQL实现.docx
06-28
图书管理系统数据库设计是一个重要的环节,它涉及到数据的组织、存储和检索,对于高效管理图书馆的图书流通至关重要。在这个系统中,我们使用MySQL作为数据库管理系统,它是一个广泛应用的关系型数据库,支持多种...
关于数据权限设计
m0_68459853的博客
07-27 4180
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。首先让我们先看下RBAC模型。...
权限数据库设计(Sql Server)
weixin_30835649的博客
06-28 219
个人总结,仅供参考!!!适合做小型网站时用!!! 创建角色与权限要用到五张数据库表: 1,用户信息表 create table employee ( userid varchar(50) not null, --用户ID username varchar(100), --用户名 userpassword varchar(100), --密码 ...
权限系统-数据库设计
奇奇哥哥的博客
07-20 234
权限系统-数据库设计图示结构设计 图示 结构设计 菜单表T_MENU 字段 类型 长度 释义 索引 约束 MENU_ID int 5 主键 √ 唯一 MENU_CODE varchar 20 菜单编码 √ 唯一 MENU_NAME varchar 20 菜单名称 - - - - MENU_URL varchar 30 菜单地址 - - 唯一 MENU_CSS v...
数据库权限设计
28536
11-05 649
转自:http://blog.itpub.net/16436858/viewspace-627049/用户、角色、权限数据库设计权限管理 权限管理,主要是人员和权限之间的关系,但是如果让人员直接和权限打交道,那么权限的赋值、权限的撤销以及权限的变动会非常的麻烦,这样引入了,角色,给角色赋权限,然后给用户分配角色。 这个设计主要涉及6张表, 用户表,(用于存储用户的所有信息) 权限表,(用于存
数据库权限系统设计
Yanxiansen1011的博客
05-22 440
https://www.cnblogs.com/wangpengb/p/11195350.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值