Group 是 User 的集合.
Role 是 Privilege 的集合(应该是Privilege+resource的集合)
最后的分歧可能是我括号里那点说明。
不知iceant是不是也是我括号中的意思?
> 对于用户直接拥有权限,我还是不建议让用户直接与权限关联
那如何解决role过多的问题?
role可以usergroup对应起来。
role可以说是权限的集合,权限可以有很多,但role只有一个啊。
在一些ERP项目里面,权限设置的很细,如果那样的话role真的太多。
提出user-->funtion似乎表面上可以解决这个问题。
user = usergroup ==> role = funtion privileg 的目的应该就是减少组合吧
还是用role比较好
DB
|--DBA
|--DBUser
来绑定resource .
对一个ERP产品的认识(5)-------权限控制
我刚写的。:)
Directory of X:\works\u_vss\BASELIB\ACL2\SourceCode\com\beaconsystem\acl2
2002-10-11 17:11 921 ACLHomeFactory.java
2002-10-11 17:11 1,459 Department.java
2002-10-11 17:11 2,050 DepartmentHome.java
2002-10-11 17:11 1,701 Resource.java
2002-10-11 17:11 2,336 ResourceHome.java
2002-10-11 17:11 1,404 Role.java
2002-10-11 17:11 1,702 RoleHome.java
2002-10-11 17:11 5,909 User.java
2002-10-11 17:11 978 UserHome.java
Directory of X:\works\u_vss\BASELIB\ACL2\SourceCode\com\beaconsystem\acl2\datab
ase
2002-10-11 17:11 8,379 DbDepartment.java
2002-10-11 17:11 3,692 DbDepartmentHome.java
2002-10-30 20:47 12,135 DbResource.java
2002-10-19 16:05 6,063 DbResourceHome.java
2002-10-11 17:11 9,137 DbRole.java
2002-10-11 17:11 4,518 DbRoleHome.java
2002-10-11 17:11 3,532 DbRoleResourceProxy.java
2002-10-19 16:03 20,217 DbUser.java
2002-10-19 16:04 5,293 DbUserHome.java
2002-10-11 17:11 2,554 DbUserResourceProxy.java
分为User/Role/Department/Resource/ResourceOptions 几个层次。
Department:Role = {1:n}
user:Role ={n:n}
ResourceOptions:Role={n:n}
Resource:ResourceOptions={1:n}
除了自己写,还有一个Open source的程序可以用来做这个事情。好像叫做pow2ACL,大家可以参考。
真正的ACL模型,这样基于数据库是不行的,需要使用LDAP.早晚要走到LDAP这条路上去。