关于权限系统和组织结构

04-11-12 minimu
有一个系统权限系统需要设计一下,但是小弟太菜,不知道怎么下手,往大家指点一二

大致的组织结构如下所示:

关于管理员:整个系统(包含多个org)有一个管理员,可以管理整个系统的权限管理;每个Org有自己的管理员,但是只能管理本Org的权限;注意:管理员只能管理权限,但是没有查看数据的权限,比如管理员最多只能看到有一个文件没有处理,但是是不能浏览文件的内容和要素的

一些特殊的地方:

(1)每个组织或部门都有自己的领导,领导可以给普通用户授权(这就包括前面有帖子提到的比如出差代处理),而具体的权限由管理员设定并不超过领导自身具有的权限

(2)不同的Org的用户和部门是允许重复的,就是Org1和Org2里面允许有完全一样的ID(如果用ID唯一表示用户的话)的用户,这一点只是用户提出来的,如果不说服用户改变的话,该如何的考虑

(3)用户可以在不同的Dep和Org之间调动

(4)用户可以看到的资源的多少和用户的级别没有关系,比如高级别的领导不能看很多细节,如对于一个审批的处理,主理的人员可以查看办理的全程资料,而领导可能看入口(从哪儿来)和结果;这是针对办理过程而言

(5)从具体数据的角度,领导不关心细节;比如一份通知,办理人员需要看到通知的级别(是否加密)、没一步的发送时间,但是领导只看内容;与(4)略不同,这是针对具体的要素,个人觉得这一点不放到权限系统,放到具体实现逻辑比较的合适

(6)用户限制的硬绑定(比如可以限制IP、MAC),我觉得这点应该比较容易实现,都是一些开关控制;但是我有些担心用户以后会提出把这一点和权限绑定,那么就麻烦多了

扩展:可能不同的org的数据都是分布的,但是对用户而言是透明的,如同操作一台数据服务器

能否找到稍微通用一点的权限系统的设置,望各位不吝指点一二

banq
2004-11-15 21:35
顶一下,希望看到好的思路。

wildfox
2004-11-17 13:59
可不可以对你的“权限”这个概念分为“功能权限”和“数据权限”,比如管理员对数据的维护,他不需要了解所要维护的数据的详细信息,可以进行类似添加、删除、指定管理员等操作,这样的权限姑且称为“功能权限”,而用户对某一详细资料的操作比如阅读、修改、审批等需要的权限作为“数据权限”,把“功能权限”和“数据权限”进行分别管理。

minimu
2004-11-18 12:57
这个是当然可以的

feathersnake
2004-11-23 14:29
因为做办公自动化比较多。也经常考虑这些问题。

我想,人员可以单纯些,只是作为一个人员数据的存放。

部门、组织、角色、职务包含人员信息,权限的划分根据这些来进行组织。

而画出的如上的树可以根据这些组织信息来划分。

而我思考的还有,其实所谓的部门、组织、角色都是一个人员的划分而已,实际上用一种结构就可以描述。只是在提供用户的表现形式上再划分成多种形式。

猜你喜欢
7Go 1 2 3 4 ... 7 下一页