最近看了別人的設(shè)計(jì)方法,大多以“整數(shù)”來(lái)表示權(quán)限值�����,如添加�、瀏覽、刪除和修改���,分別用1、2���、4、8這幾個(gè)整數(shù)來(lái)代替�����,不過(guò)���,各人的做法有所不同,舉例如下:
1.用2的n次冪組成權(quán)限值的集合����,如1��、2�����、4����、8、16...����,某用戶的權(quán)限值為其子集中的整數(shù)之和,如 7=1+2+4����,5=1+4。如果要從數(shù)據(jù)庫(kù)檢索包含某幾種權(quán)限的用戶��,則先把這幾種權(quán)限值相加���,假設(shè)和為k�����,然后select * from table where 1 and 用戶權(quán)限值 = 'k'����;如果要判斷某用戶有哪些權(quán)限��,則取出其權(quán)限值k���,分別用k&1,k&2,k&4,k&16...,如果為真,則表示有值等于“&”右邊整數(shù)的權(quán)限�����,例如���,如果k&4為真����,則此用戶有權(quán)限表中值等于4的權(quán)限;
2.用質(zhì)數(shù)2���、3�����、5��、7�����、11...組成權(quán)限集合�,某用戶的權(quán)限為其子集中各整數(shù)的乘積,如 210 = 2*3*5*7,我覺(jué)得這種方法很有趣���,難點(diǎn)在于如何分解質(zhì)因數(shù)����;但我有些不認(rèn)同原作者的提法�,他認(rèn)為權(quán)限之間可能存在包含關(guān)系�����,如某用戶有刪除權(quán)限,則其一定有瀏覽權(quán)限���,要不然就沒(méi)法刪除�,事實(shí)確實(shí)是這樣���,不過(guò)我認(rèn)為這樣太復(fù)雜了,容易出錯(cuò)�,我覺(jué)得權(quán)限最好是“原子”的,互不干擾��,也就是說(shuō)某用戶有刪除權(quán)限而沒(méi)瀏覽權(quán)限則其無(wú)法進(jìn)行刪除操作�,因?yàn)樗床坏綎|西��,解決這個(gè)矛盾的關(guān)鍵是在給用戶賦權(quán)時(shí)�,把瀏覽權(quán)限也賦給他;
3.不用整數(shù)���,而是用“向量表”方法(也許我說(shuō)的不一定對(duì))��,把所有可能的權(quán)限按一定的順序排列��,如添加�����、瀏覽����、修改����、刪除...�����,用戶的權(quán)限值為固定100位長(zhǎng)度的字符串�����,如100010100001....01���,從左起每一位對(duì)應(yīng)一種操作權(quán)限�����,如果有這種權(quán)限����,則此位的值為1,反之���,則為0�,作者之所以把用戶權(quán)限值固定為100位��,我想是考慮到升級(jí)問(wèn)題�����,但我認(rèn)為這還不夠科學(xué)��,我認(rèn)為用戶的權(quán)限值長(zhǎng)度應(yīng)小于權(quán)限個(gè)數(shù)��,舉例如下:
權(quán)限排列表:添加���、瀏覽、修改��、刪除����,用戶a有添加和瀏覽的的權(quán)限,則其權(quán)限值為11�����,用戶b有瀏覽和修改的權(quán)限則其權(quán)限值為011�����,用戶c有瀏覽和刪除的權(quán)限則其權(quán)限值為0101���,這樣設(shè)計(jì)的好處為:當(dāng)權(quán)限表中增加別的權(quán)限時(shí),不會(huì)影響用戶表或角色表���;
4.我曾經(jīng)的做法,在后臺(tái)管理中把權(quán)限分為兩大類:欄目權(quán)限和操作權(quán)限����,每個(gè)欄目對(duì)應(yīng)一個(gè)目錄,操作權(quán)限細(xì)分為瀏覽��、添加��、修改和刪除����,用戶進(jìn)入系統(tǒng)后首先判斷有沒(méi)有欄目權(quán)限���,然后判斷有沒(méi)有操作權(quán)限�����,判斷欄目權(quán)限相對(duì)簡(jiǎn)單一些�,首先獲取訪問(wèn)頁(yè)面的路徑path��,然后分解出目錄���,對(duì)應(yīng)用戶擁有的目錄權(quán)限,如果此目錄包含在用戶有權(quán)管理的目錄數(shù)組中(從數(shù)據(jù)庫(kù)取出)����,則其有進(jìn)入此目錄的權(quán)限,否則�����,沒(méi)有,然而��,在判斷操作權(quán)限好象有些麻煩�����,但突然想到添加����、瀏覽�����、修改和刪除與我的文件命名規(guī)則是基本是對(duì)應(yīng)的,但有點(diǎn)不同的是�����,我把添加和刪除的功能合并在一個(gè)文件中了�����,例如文件名為proaddedit.php�,幸好意識(shí)到修改文件時(shí)多了個(gè)傳遞參數(shù)id����,于是�,我用正則解決了這個(gè)問(wèn)題���,今天看來(lái)���,這種方法似乎過(guò)時(shí)了,因?yàn)椴贿m應(yīng)面向?qū)ο蟮乃枷牒陀每蚣荏w系來(lái)開發(fā)系統(tǒng)�����!
以上是個(gè)人粗淺的認(rèn)識(shí)和描述���,若有錯(cuò)誤,請(qǐng)各位指正��,希望高人給些意見(jiàn)��!
posted by: trooman 2005-12-28 16:02
咋個(gè)這么冷清��,一個(gè)發(fā)表點(diǎn)意見(jiàn)的都沒(méi)有�����?
posted by: axgle 2005-12-28 16:05
已收藏。
posted by: donyad 2005-12-28 16:41
1 2 3 的思想是相同的,只是實(shí)現(xiàn)上的手法不同而已
而3后半部分樓主的例子,恕偶愚笨,看不懂
3的做法是很c的,driver級(jí)別或者系統(tǒng)級(jí)別的程序很常用
比如*nix下的文件權(quán)限0755 0777之類
方法1 跟 方法3 原型是一模一樣的,就是二進(jìn)制位,方法3 是對(duì)這個(gè)的一個(gè)字符串模擬
二進(jìn)制 十進(jìn)制
100 4
+ 1 1
------------
101 5
用相互獨(dú)立的位來(lái)標(biāo)志權(quán)限,就是為了原子性,素?cái)?shù)同樣具有這個(gè)特性
所以派生出2的做法,而分解質(zhì)因數(shù),我并不認(rèn)為這個(gè)會(huì)是一個(gè)問(wèn)題,因?yàn)槿N方法都需要去檢查所需要的權(quán)限
既然是檢查,除一下所需要的質(zhì)數(shù)即可
而3里面所說(shuō)的要變長(zhǎng)的問(wèn)題
1和2正好在概念上回避了這個(gè)問(wèn)題
實(shí)際上,在c里面用二進(jìn)制,有個(gè)對(duì)齊的問(wèn)題,就是要8位8位的申請(qǐng),8位8位的用,無(wú)所謂太長(zhǎng)了浪費(fèi)
只是象方法3這樣用字符串來(lái)模擬二進(jìn)制時(shí)會(huì)有浪費(fèi)
而方法1 2在真正保存時(shí),也是保存成一個(gè)int,也是一個(gè)申請(qǐng)過(guò)來(lái)就那么多位的二進(jìn)制空間,無(wú)所謂浪費(fèi)
擴(kuò)展和彈性上,方法1和方法2是沒(méi)有影響的
對(duì)方法3來(lái)說(shuō)是個(gè)問(wèn)題,那是因?yàn)榉椒?模擬得不好... 方法3感覺(jué)有豬鼻子插蔥之嫌
--------------
敲code多了,文字表達(dá)能力可能不行了,偶說(shuō)不對(duì)的或說(shuō)不清的地方歡迎大家拍磚,3q
posted by: lihun21 2005-12-28 19:27
做個(gè)記號(hào)先
學(xué)習(xí)一下
現(xiàn)在還沒(méi)有用到這么深的權(quán)限系統(tǒng)
我現(xiàn)在只有三種權(quán)限的用戶,所以還沒(méi)有考慮那么多
超級(jí)管理員->普通管理員->普通用戶
我想,我用的是這種模式
用戶+權(quán)限
posted by: wwccss 2005-12-28 20:06
樓主的文章不錯(cuò)��。donyad兄分析的也很有水平�����。
posted by: cozo 2005-12-28 20:10
這種東西只要一種方法就可以了。
我就只使用第一種��。
posted by: bitq 2005-12-28 21:47
這個(gè)方法我有看到過(guò)~~~
用二進(jìn)制表示權(quán)限�����,不會(huì)互相影響�����,期待做個(gè)涉及到這個(gè)的項(xiàng)目
高手就是高手~~`
posted by: binzywu 2005-12-28 22:01
具體怎么標(biāo)記權(quán)限 這個(gè)較無(wú)所謂
一般的系統(tǒng)
rbac是已經(jīng)夠用的.
一般access controller有3種
user based
group based
role based
rbac有成熟的理論基礎(chǔ), 你可以搜索以下, 能搜到很多論文.
但如果不是一般的應(yīng)用系統(tǒng), 那么權(quán)限系統(tǒng)可能設(shè)計(jì)需要較為特別. 這里只有普遍理論, 未必有普遍方法.
posted by: terpomo 2005-12-29 00:31
學(xué)習(xí)了
posted by: bleakwind 2005-12-29 01:14
我比較落后����,我是將每個(gè)人的權(quán)限組成的數(shù)組序列化放入數(shù)據(jù)庫(kù)���。�����。����。
每次載入頁(yè)面初始化出來(lái)。�����。���。
posted by: nameless 2005-12-29 08:51
見(jiàn)過(guò)一個(gè)用方法3做的權(quán)限判斷,操作很方便���,也很靈活
欄目權(quán)限用的直接把欄目標(biāo)識(shí)用界定符分隔連接�,操作時(shí)判斷有沒(méi)有這個(gè)標(biāo)識(shí)�,簡(jiǎn)單��,對(duì)欄目數(shù)過(guò)多且操作員過(guò)多的時(shí)候這個(gè)數(shù)據(jù)庫(kù)效率應(yīng)該不高(如果操作員能超過(guò) 10w 的話),呵呵
posted by: trooman 2005-12-29 11:18
quote (nameless @ 2005-12-29 08:51)
見(jiàn)過(guò)一個(gè)用方法3做的權(quán)限判斷����,操作很方便,也很靈活
欄目權(quán)限用的直接把欄目標(biāo)識(shí)用界定符分隔連接�,操作時(shí)判斷有沒(méi)有這個(gè)標(biāo)識(shí)�,簡(jiǎn)單,對(duì)欄目數(shù)過(guò)多且操作員過(guò)多的時(shí)候這個(gè)數(shù)據(jù)庫(kù)效率應(yīng)該不高(如果操作員能超過(guò) 10w 的話)���,呵呵
是的����,我也認(rèn)為方法3不會(huì)比二進(jìn)制的效率差�����,在具體使用時(shí)可以用like,str_replace等���,還可以模擬二進(jìn)制����。
那種所謂的“欄目”權(quán)限管理,現(xiàn)在已經(jīng)過(guò)時(shí)了,但思想還是可以沿用的�,如“對(duì)應(yīng)欄目”改成“對(duì)應(yīng)模塊”,但實(shí)現(xiàn)方式已經(jīng)截然不同了����!
posted by: sean.zhuo 2005-12-29 13:51
哪位大哥能給我講解一下"角色"這個(gè)概念嗎?不懂什麼叫角色.
posted by: knighte 2005-12-29 14:50
1和3����,本質(zhì)還是一樣的吧。
1有個(gè)好處�����,節(jié)省空間�����。lz提到開100個(gè)權(quán)限用來(lái)升級(jí)���。不過(guò)我遇到過(guò)一個(gè)超過(guò)100個(gè)權(quán)限類別的系統(tǒng)����,而且用戶樹較多���。所以后來(lái)壓成了16進(jìn)制存儲(chǔ)(原來(lái)還是一樣),就類似1的處理方法了���。
不過(guò)3最大的好處應(yīng)該在于直觀(其實(shí)如果權(quán)限項(xiàng)很多的話,也不直觀了���,呵呵)�����。
個(gè)人認(rèn)為“權(quán)限儲(chǔ)存和判斷的方法”其實(shí)還不是“權(quán)限設(shè)計(jì)”的重點(diǎn)和難點(diǎn)���。我們還需要考慮其他東西。比如權(quán)限的設(shè)計(jì)結(jié)構(gòu)(rbac/gbac/ubac)的選擇���,比如權(quán)限在應(yīng)用系統(tǒng)中的使用……
我gbac(基于組的權(quán)限控制)用的比較多���。一般的邏輯是:
組成樹型結(jié)構(gòu),用戶跟組結(jié)點(diǎn)
判斷權(quán)限��,從組根目錄開始往用戶所在組進(jìn)行遍歷�����。起始權(quán)限為“禁止”
遍歷時(shí)����,子組權(quán)限覆蓋起始權(quán)限���,直至用戶���。
最后用戶權(quán)限覆蓋起始權(quán)限���。得到最終權(quán)限碼��。
雖然貌似有些繁雜����,不過(guò)較靈活些�。
其次談?wù)剻?quán)限的使用����。通常的做法(至少我是這么做的)�����,即在“所需”時(shí)����,根據(jù)以上邏輯判斷某用戶相對(duì)某權(quán)限“是否通過(guò)”����,例如(亂寫的�����,只是想表示是在需要是進(jìn)行判斷):
code
// when someone posts a new topic
if ($access_controller->check($user, 'post'))
{
// access passed
$user->post($content);
}
else
{
// access denied
$sys->accessdenied();
}
而我一直很想嘗試的����,是這樣一種權(quán)限使用方法:即在$user實(shí)例出來(lái)時(shí),已經(jīng)裝配好他擁有的權(quán)限(check once, run anywhere)��,例如:
code
class user
{
var $sid;
var $name;
var $passwd;
var $email;
// ...
function __call()
{
// it must be a access denied process here
die('no permission');
}
// maybe no other methods here...
}
// we need overload the user class in php4
// for the __call magic method
overload('user');
$user = new user();
// we need a accessinject method to inject accesses into user object
$access_controller->access_inject($user)
// then, the user object includes its access methods...
// ok, we use the user's method directly
$user->post($content);
// if the user object includes the post method, it has the right permission...
隨便寫了點(diǎn)�,沒(méi)有很仔細(xì)考慮結(jié)構(gòu)和命名,希望能表達(dá)清楚我的意思�����。
拋磚引玉……
posted by: luciferstar 2005-12-29 17:40
做過(guò)一個(gè)表單,用法1和3保存多選的表單數(shù)據(jù)��。
posted by: james.liu 2006-01-05 17:10
如果是面向?qū)ο蟮?����,,傾向于小k的想法
用戶登陸時(shí)�����,�����,如果用戶名���,密碼,什么都對(duì)的�,允許他登陸時(shí),�����,實(shí)例化用戶信息,包括權(quán)限
posted by: gudai 2006-01-11 16:06
權(quán)限設(shè)計(jì)�。頭疼的問(wèn)題�。
來(lái)源:http://club.phpe.net/index.php?act=print&client=printer&f=2&t=11828
菜鳥學(xué)堂: 
