设计用户访问/权限类

Question

我正在一个网站上工作，该网站将有几个模块，这些模块要么对某些用户完全可用，要么对其他用户半可用，而对其他用户不可用。

例如：

• “员工”能够响应分配给他的客户支持票证。

• “经理”能够管理其团队中的所有员工和支持票证，包括查看特定员工的票证。

• “管理员”能够管理所有团队中的所有经理、员工和工单，以及一些其他核心功能。

此外，如果当前用户是管理员或经理，在某些页面上还会显示一些附加字段。 （例如删除/标记事物的链接）。这些不会向员工展示。

我想创建一个“权限”模型，该模型将处理以下逻辑：

• 确定用户是否可以访问当前页面。

• 确定是否应显示页面的特定部分。 （例如，仅向管理员和经理显示用于编辑/删除的特殊链接）。

我需要一些设计此类的建议/建议，特别是它应该具有哪些方法来完成第二个要求。

Answer 1

当这个问题出现时，我处理这个问题的方法是给出可以采取的每个操作或可以显示其自己的权限的信息。每个用户都有一个权限集合。由此，您可以添加其他结构层来帮助管理将存在的大量权限，例如权限的层次结构或类别。

一旦到位，您可以让各个部分询问User他们是否拥有所需的权限，或者您可以让PermissionManager接受 >用户和一组权限并确定给定用户是否具有所需的权限。无论哪种方式都可以正常工作，但是您选择哪一种会对系统的依赖关系和体系结构产生影响。

PermissionManager 方法的优点是您的应用程序片段不需要依赖于 User，因此您可以使用始终使用不同的 PermissionManager如果没有合适的权限，则返回 False；如果所有权限都合适，则返回 True。

对于简单的情况，这种方法可能有点矫枉过正，而且一开始看起来似乎确实如此，但我已经走了使用基本分层或粗粒度角色的路线，并且喜欢几乎我工作过的每个系统都很快变得太对于大多数普通的、预构建的基于角色的权限系统来说很复杂。

Answer 2

从数据库的角度来看，我解决这个问题的方法是拥有一个保存用户列表的用户表，一个保存角色列表的角色表，例如：员工、经理、管理员；权限表存储系统中可用的每个操作/功能的所有值及其对特定角色的权限，例如：对于管理员来说，创建、编辑、删除、查看等操作/功能的值都是 true。这些关系如下所示，而 (N) ---- (N) 是多对多关系。

用户 (N) -------- (N) 角色 (N) -------- (N) 权限

Answer 3

我的印象是，您需要使用员工、经理和管理员等角色。因此，包含这些内容的角色表就可以了。然后，对于特定的操作/权限，您必须使用分支逻辑，例如对于您将拥有的员工
if User.IsInRole("员工")
// 插入逻辑来处理客户支持票证
else if User.IsInRole("经理")
// 插入处理经理职责的逻辑

，最后插入处理管理员职责的逻辑

因此，您需要用户表和角色表来实现此目的。
希望有帮助