數(shù)據(jù)權限是什么意思？功能權限和數(shù)據(jù)權限的聯(lián)系和區(qū)別

數(shù)據(jù)權局譽汪限即桐仔登錄者或操作者所能查看到的資源范圍。

清鎮(zhèn)網(wǎng)站建設公司成都創(chuàng)新互聯(lián),清鎮(zhèn)網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為清鎮(zhèn)近1000家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設公司要多少錢，請找那個售后服務好的清鎮(zhèn)做網(wǎng)站的公司定做！

功能權限是登錄者或操作者所能進行虛指的操作，例如查詢、修改和刪除等。

權限體系解析 功能&數(shù)據(jù)

權限是所有應用都需要考慮的問題。從方向上來說，權限可以分為功能權限和數(shù)據(jù)權限，功能權限指你能發(fā)起什么事件，數(shù)據(jù)權限指你能看到哪些數(shù)據(jù)。合起來就是你能看到哪些數(shù)據(jù)，對他們分別能發(fā)起哪些事件。

功能權限有很多理論模型，經(jīng)常談到的有DAC，MAC，RBAC，ABAC，可以看到都是AC結尾，AC代表Access Control。其中以RBAC在實際系統(tǒng)中應用最多。

DAC有兩個關鍵點：1資源默認只有創(chuàng)建者擁有全部權限；2資源由誰創(chuàng)建，該資源的權限就由誰分配；

DAC是這樣工作的，系統(tǒng)首先會識別用戶，然后根據(jù)用戶要操作的資源，去查詢他是否能做操作，比如查看和編輯。最典型的數(shù)敏例子，就是Windows的文件權限控制：

DAC的缺點在于：權限控制過于分散，不方便管理。

MAC有四個關鍵點：1資源和用戶都有權限等級；2資源和用戶的權限等級全部由管理員控制；3用戶權限等級高于或等于資源時，才具有操作權限；4下讀上寫。

其中下讀上寫，是出于保密的考慮。具體是指用戶只能閱讀權限等于或低于自身的資源，只能創(chuàng)建和編輯權限等于或高于自身的資源。舉個例子，權限等級1最低，5最高，用戶A的薯州枝權限是3，他可以看到等級為1，2，3的文件，只能創(chuàng)建和編輯3，4，5的文件。

MAC通常用在保密性比較高的政治軍事系統(tǒng)中，比如FBI的文件保密系統(tǒng)。缺點在于太過嚴格而導致不夠靈活。

這是實際應用最多的一個模型。RBAC有幾個概念：用戶，會話，角色，權限。其中用戶角色權限都好理解，而會話其實就是session，可以看做是登錄驗證通過后的句柄。

這個模型有4個變體：RBAC0，RBAC1，RBAC2，RBAC3，下面分別來看。

這是最簡單的，一個用戶只能對應多個角色，一個角色對應多個權限。如下圖：

RBAC0有個麻煩的地方，當角色A有權限1到10共十個點，角色B有權限1到11共十一個點，你創(chuàng)建角色A之后，創(chuàng)建角色B的時候又為角色B再勾選十一個權限點。

RBAC1在RBAC0的基礎上，引入了角色繼承。上面的例子，你創(chuàng)建角色A之后，創(chuàng)建角色B時，只用繼承角色A然后再另外勾選一個權限點就行了。

角色繼承分為普通繼承和受限繼承。

普通繼承 ，是指一個角色可以有多個父角色。利用普通繼承，可以做到角色組的概念。

受限繼承 ，是指跡信一個角色只能有一個父角色。利用受限繼承，可以做到角色的嚴格樹形結構。

RBAC1如下圖：

RBAC0還有個麻煩的地方，由于一個用戶可以分配多個角色，如果把一個用戶同時設置成裁判和球員，就糟糕了。

RBAC2在RBAC0的基礎上，引入了責任分離。責任分離分為兩種：靜態(tài)責任分離SSD，動態(tài)責任分離DSD。

當給用戶分配了球員角色時，就不允許再分配成裁判角色，這是靜態(tài)責任分離的一種。

可以為用戶同時分配球員和裁判角色，但是同一場比賽，用戶只能使用一種身份參加，這是動態(tài)責任分離。

靜態(tài)責任分離 的本質(zhì)是在分配角色時增加約束。約束有三種形式： 角色互斥 ，就像上面的例子，不允許給用戶同時分配球員和裁判； 基數(shù)約束 ，限制一個用戶能擁有的角色數(shù)量；先決條件約束，用戶要擁有一個角色，必須先擁有另外一個角色，比如必須先成為工程師，才能成為架構師。

動態(tài)責任分離 的本質(zhì)是在系統(tǒng)運行時有所約束。比如用戶既是球員也是裁判時，登錄系統(tǒng)時必須選擇其中一種角色登錄，登錄后只擁有被選角色的權限。

RBAC2如下圖：

RBAC3就是同時實現(xiàn)RABC1和RBAC2，如下圖：

ABAC的本質(zhì)，是根據(jù)規(guī)則，動態(tài)計算一個或一組屬性是否滿足某種規(guī)則，來進行授權判斷。通常用來計算的屬性分為：用戶屬性，環(huán)境屬性，操作屬性和資源屬性。可以用XML，YAML或其他形式來存儲規(guī)則。

簡單來說，就是把訪問規(guī)則寫在配置文件里，當用戶要做操作的時候，規(guī)則引擎根據(jù)配置去計算結果。

ABAC的優(yōu)點：

1. 規(guī)則集中式管理。也就是配置文件。

2. 可以按需實現(xiàn)不同顆粒的權限控制。意思是配置文件的規(guī)則，是自定義的，A模塊可以做到菜單級，B模塊可以做到功能級。

3.?不需要預定義判斷邏輯，減輕了權限系統(tǒng)的維護成本，特別是在需求經(jīng)常變化的系統(tǒng)中

缺點：

1. 不能直觀地看出用戶和權限之間的關系。

2.?規(guī)則如果復雜，或者設計混亂，會給管理者維護和追查帶來麻煩。

3.?權限判斷需要實時執(zhí)行，規(guī)則過多會導致性能問題。

數(shù)據(jù)權限，我覺得可以分為三個級別去講：表級，行級，列級。

作為一個技術員角色，就不應該看到銷售數(shù)據(jù)，這就是表級權限，其實跟前面說的菜單權限是一個意思。

作為基層銷售，你只能看到自己的銷售數(shù)據(jù)，作為銷售總監(jiān)，能看到銷售部門所有人的數(shù)據(jù)，就是行級數(shù)據(jù)權限。從上面這個例子可以看出，行級數(shù)據(jù)權限是由組織結構決定的。當然 最簡單的辦法就是硬編碼 ，在組織結構里只能看自己和下級數(shù)據(jù)。優(yōu)點是簡單，缺點是不靈活，無法處理跨節(jié)點看數(shù)據(jù)的問題。

另一個辦法就是配置用戶和組織結構的關系，下圖是一個例子：

像上圖所示，把角色跟組織機構關聯(lián)起來，也就間接把用戶跟組織結構關聯(lián)了，你就知道誰官大誰官小了，同一個數(shù)據(jù)表，村長能看自己村的，縣長能看十幾個村的。

也可以直接把用戶跟組織機構關聯(lián)起來，做起來簡單，但是調(diào)整的時候偏麻煩一點。

如果給角色分配組織結構，可能會造成角色承擔過多責任。如果直接給用戶分配組織結構，可能會造成調(diào)整麻煩。于是我們可以引入崗位的概念，通過崗位把用戶和組織結構關聯(lián)起來。

以上就是通過組織結構解決行級數(shù)據(jù)權限的方法。其背后還存在一個問題， 一個用戶可以同時站在組織結構的多個節(jié)點上嗎？ 通俗的說就是，一個人可以同時是村長和縣長嗎？如果可以，他能看全縣所有村的數(shù)據(jù)嗎？

這個問題要看實際業(yè)務情況來定。如果不能兼任，就不存在這個問題了。如果允許兼任，數(shù)據(jù)權限就應該取并集。

我們假設一個不太嚴謹?shù)膱鼍埃N售數(shù)據(jù)包括銷售員，客戶信息，合同編號，金額，提成。銷售總監(jiān)，可以看到銷售部門所有銷售數(shù)據(jù)，但是提成這一列是看不到的。這個場景就是列級數(shù)據(jù)權限。

當然最簡單，還是硬編碼 。寫死某些角色就是看不到某列數(shù)據(jù)。同樣，優(yōu)點是簡單，缺點是不靈活。

引入一個概念，數(shù)據(jù)資源，說白了就是數(shù)據(jù)表，數(shù)據(jù)資源包含表里所有字段。接下來就跟行級權限處理一樣了。

功能權限與數(shù)據(jù)權限有何不同,應如何進行設置

功能權限在系統(tǒng)管吵清禪理中進行設置，主要升塵規(guī)定了每個操作員對各模塊及細分功能的操作權限。數(shù)據(jù)權限是針對業(yè)務對象進正擾行的控制，可以選擇對特定業(yè)務對象的某些項目和某些記錄進行查詢和錄入的權限控制。

新聞名稱：功能權限和數(shù)據(jù)權限PHP 功能權限和數(shù)據(jù)權限金額權限的關系
本文URL：http://chinadenli.net/article18/ddpeogp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設、、網(wǎng)站建設、網(wǎng)站收錄、企業(yè)建站、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)