如何设计用户、角色和权限架构？

Question

这在Web应用程序开发中是很常见的事情。我已经做过很多次了。

但我目前的项目陷入了为此设计架构的困境。

问题是我的应用程序一开始就会有三种类型的用户，例如超级管理员、管理员和普通用户。

我计划将这些用户类型设置为 ROLE_SUPERADMIN、ROLE_ADMIN 和 ROLE_USER 等角色。

该系统可以有多种角色。事实上，超级管理员和管理员可以创建角色并将这些角色分配给用户。

问题是，

超级管理员将拥有 p1、p2 和 p3 权限。 超级管理员可以创建其他超级管理员。 超级管理员可以创建管理员。 超级管理员不会在系统中添加用户。

管理员可以拥有 p5、p6 和 p7 权限。 管理员不能创建其他管理员。 管理员可以创建其他用户。 管理员还可以创建报告查看者等角色。

具有 p1、p2 和 p3 权限的超级管理员应该能够创建具有 p5、p6 和 p7 权限的管理员。我不太明白。

从逻辑上讲，当超级管理员本身没有p5、p6和p7权限时，他们如何创建具有这些权限的管理员？

请帮助我对此进行正确的设计。

以下是我迄今为止的设计。

用户
用户 ID 角色 ID

ROLE
角色 ID 角色

名称 权限
权限 ID 权限名称

ROLE_PERMISSION RoleID PermissionID

谢谢。

Answer 1

这是一个负载性的问题，设置成员、角色等并不是一件小事。我建议您查看已经编写的库，看看它们是否适合您的需求。您应该开始谷歌搜索，简称为“访问控制列表”（acl）。

Answer 2

您应该研究授权框架和标准，例如 XACML - XACML 允许您基于多个属性定义授权，这样您就不会最终陷入角色爆炸。因此，您可以创建规则，例如：

具有 role=manager 和 location=TX 的用户可以对资源执行 action=view...

也有多个供应商解决方案和开源解决方案。查看 Wikipedia 页面和标准主页以获取更多信息：

• http://en.wikipedia.org/wiki/ XACML
• https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

我也有一个谈论 XACML 的 Youtube 频道：

• http://www.youtube.com/user/axiomaticsab?feature=watch

Answer 3

一旦设计了这样一个数据库；

我安装了一些论坛、门户和CMS脚本，并分析了它们如何处理这种情况，然后提取了数据库模式并将其用作参考。

也许这可以帮助