java用户角色权限数据库设计

1、实现业务系统中的用户权限管理B/S系统中的权限比C/S中的更显的重要，C/S系统因为具有特殊的客户端，所以访问用 户的权限检测可以通过客户端实现或通过客户端 +服务器检测实 现，而B/S中，浏览器是每 一台计算机都已具备的，如果不建立一个完整的权限检测，那么一个“非法用户”很可能就 能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个 权限系统来实现访问权限检测，让经过授权的用户可以正常合法的使用已授权功能，而对那 些未经授权的“非法用 户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下 如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。需求

2、陈述不同职责的人员，对于系统操作的权限应该是不同的。优秀的业务系统，这是最基本的功能。可以对“组”进行权限分配。对于一个大企业的业务系统来说，如果要求管理员为其 下员工逐一分配系统操作权限的话，是件耗时且不够方便的事情。所以，系统中就提 出了对“组”进行操作的概念，将权限一致的人员编入同一组，然后对该组进行权限 分配。*权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。 就像是组件一样的可以被不断的重用，而不是每开发一套管理系统，就要针对权限管 理部分进行重新开发。满足业务系统中的功能权限。传统业务系统中，存在着两种权限管理，其一是功能权 限的管理，而另外一种则是资源权

3、限的管理，在不同系统之间，功能权限是可以重用 的，而资源权限则不能。关于设计借助NoahWeb勺动作编程理念，在设计阶段，系统设计人员无须考虑程序结构的设计，而是 从程序流程以及数据库结构开始入手。为了实现需求，数据库的设计可谓及其重要，无论是“组”操作的概念，还是整套权限管理系统的重用性，都在于数据库的设计。我们先来分析一下数据库结构：首先，action表（以下简称为“权限表” ），gorupmanager表（以下简称为“管理组表”）， 以及master表（以下简称为“人员表”），是三张实体表，它们依次记录着“权限”的信 息，“管理组”的信息和“人员”的信息。如下图：更新-3-3这三个表之间

4、的关系是多对多的，一个权限可能同时属于多个管理组，一个管理组中也可能 同时包含多个权限。同样的道理，一个人员可能同时属于多个管理组，而一个管理组中也可 能同时包含多个人员。如下图：NHNN添加删除 更斯超级管理员 管理员 一般用户1 _ _ _ _ 一 _ _ 一 1由于这三张表之间存在着多对多的关系，那么它们之间的交互，最好使用另外两张表来完成而这两张表起着映射的作用，分别是“ actiongroup ”表（以下简称“权限映射表”） 和“mastergroup ”表（以下简称“人员映射表”），前者映射了权限表与管理组表之间的交 互。后者映射了人员表与管理组表之间的交互。如下图：躺赶级管理员

5、添初-管理员 删除-i理罠 更斬-一脸用户超圾管理员 管理员 一離用户議三-超级订理吊 帝三-管理员 些四-超皴背理员 章西-臂理员 王五-一繼黒户 aid® 歳张三 李3 壬五曼諸辭交互“人员映射丟"使糧人员叢 W “传理绢表”之闻得到了 女互另外，还需要一张表来控制系统运行时左侧菜单中的权限分栏，也就是“权限分栏表”，如 下图：濡加删除更新添刖-超迺管理员 刪嗓-超纯管理员 添加-港理员 刪除-管理員 更斷一热用户超適卷理员 管理员 一般用户喪二-整级些理员 举冠-超睦理员 王盘鹼质户三皿h张至王权限分栏根据上面的分析，我们进行数据库结构设计，如下图:为了能够进行良好的

6、分析，我们将数据库结构图拆分开来，三张实体表的作用已经很清晰, 现在我们来看一下两张映射表的作用。权限映射表如下图: 首先，我们来了解一下 权限映射表与管理组表以及权限表之间的字段关联acfeJSM 1 N巖?戟壽|旷篇探組讒匕工:ajctionLidid/参皿acticjuianiez_1/groupnameacti one oluunni d/groupinfoction'；）»/mastigridi dvimEt«rnaniemas ter namecreatedateereatedate看图中的红圈，先看gorupid字段相关联，这种关联方式在实际数据库中的

7、表现如下图:焉表"Xctiongro?中的数据"童畫是"sqln表QxxnvBanacer?中的数据id浊亡tion1 Kroupidsroupid 1| groupname1setup丁J超级管理员2addxLewroup12管理员3gr oup_&K13一般用户4getgr owpinfo15setpr &upinfc_ii16met期皿 info _e>17d&lgr»up_4B.1 ,如图中所示，管理组表中“超级管理员”的groupid为1，那么权限映射表中groupid为1 的权限也就是“超级管理员”所拥有的权限。

8、使用groupid字段关联，是为了查到一个管理组能够执行的权限有哪些。但这些权限的详细 信息却是action字段关联所查询到的。action字段相关联在数据库中的表现如下图:ionACtioilitlactiacti on 1|1衩限初贻化安装严 up、2添加管理组也ddnewgr oup3添加管理組执行additewgroup斗设置肓理組权限三启 t roupinfo5设叠肓理组权限舗set gronpinf0_irLl&设蒼管理組权限*set groiTpin£o_ex|7删除管理爼匕昌丄歹QHp_gJ< /检置是sqlnoal垃表Option group?中的数据

9、丫ii124567|l acti aa.group «ddn«wgr setgraupi nfo setgr aup i nfo_in satgz oupi nfo_ex通过这种关联，才查询到 权限映射表之中那些权限的详细信息。综合起来，我们就知道了一 个管理组可以执行的权限有哪些，以及这些权限的详细信息是什么。或许你会问，为什么不使用actio nid字段相关联呢？因为:权限表中的id字段在经过多次的数据库操作之后可能会发生更改 权限映射表中仅仅记录着一个管理组可以执行的权限。 一旦权限表中的id更改，那么权限映射表中的记录也就更改了' 一个管理组可以执行的权限势

10、必将出错，这是非常不希望的。考虑到上面的情况，所以应该使用 action字段相关联，因为：在权限表中，id可能发生变化，而action字段却是在任何情况下也不可能发生变化 的。权限映射表中记录的action字段也就不会变。 一个管理组可以执行的权限就不会出错了。人员映射表如下图： 我们来了解一下 人员映射表与管理组表以及人员表之间的字段关联，如下图:grcupnn e groupinfo maEteri dmas ter n am e createdater 組it丛M罠腴务右nanne paEEWord bdate trueiLamesex b'irtLday dept positi

11、on posi ti. gn_des o£fice_phone mobile home jhone email masterid m-astemame createdate看图中的红圈部分，先看groupid字段关联，这种关联方式在数据库中的表现如下图:如图，“超级管理员”组的groupid为1，我们再看人员映射表，admin属于超级管理员组,而administrator属于超级管理员组，同时也属于管理员组使用这种关联方式，是为了查到一个管理组中的人员有谁。和上面一样，人员的详细信息是 靠id字段（人员映射表中是masterid字段）关联查询到的。id字段（人员映射表中是master

12、id字段）关联表现在数据库中的形式如下图：1id name4口adminL2 1idmini strator墙表逐两己中的数据，俭墨而administrator属于超级管理员组，同时也属于管理员组而administrator属于超级管理员组，同时也属于管理员组一个人员可能同时属于多个“管理组”，如图中，admi ni strator 就同时属于两个“管理组”。所以，在人员映射表中关于administrator 的记录就会是两条。这种关联方式才查询到管理组中人员的详细信息有哪些。综合起来，才可以知道一个管理组 中的人员有谁，以及这个人员的详细信息。再结合上面谈到的权限表和权限映射表，就实现了需求

13、中的“组”操作，如下图：Lgroupname groupinfo mas tori d mastajrnecir 电 atedatepassword bdate truenams seK birthday d*pt position pesi ti on_desc of fi c：_pho:ne mobile hoime jp hone email rnasteirid cr eat edat-e其实，管理组表中仅仅记录着组的基本信息，如名称，组id等等。至于一个组中人员的详 细信息，以及该组能够执行的权限的详细信息，都记录在 人员表和权限表中。两张映射表才 真正记录着一个组有哪些人员，能够执

14、行哪些权限。通过两张映射表的衔接，三张实体表之 间的交互才得以实现，从而完成了需求中提到的“组”操作。我们再来看一下 权限分栏表与权限表之间的交互。这两张表之间的字段关联如下图:两张表使用了 actioncolumnid 字段相关联，这种关联方式在数据库中的表现如下图:话表土 i巳己）中的数据童置是sqlnoahs槁表"VctioncoluBS?中的数据k1权限初始化安装12添加管理组13添鳩理爼执行14设蚩管理俎权限15设豊管理徂权限?16设置管理俎权限17删除营理粗1S査看管理员分蛆19查看昔理组成员110设置管理员权限111设首管理员权限?112设胃管理员权限扌LL13添加管理

15、员2'14添抑管理员执行215更改管理员密码216更改管理员巒码2IT更改管理员峦码1.213更改管理员信息219更改管理员信息>220更改管理员信息221删除指定管理岗2aeti oni doimMi e直亡 ti垃高级管理权限管理权限3新闻管理4个人设置卜如图所示，通过这种关联方式，我们可以非常清晰的看到 权限表中的权限属于哪个分栏。现在，数据库结构已经很清晰了，分配权限的功能以及“组”操作都已经实现。下面我们再 来分析一下需求中提到的关于权限管理系统的重用性问题。为什么使用这种数据库设计方式搭建起来的系统可以重用呢？三张实体表中记录着系统中的三个决定性元素。“权限”，“组”

16、和“人”。而这三种元素可以任意添加，彼此之间不受影响。无论是那种类型的业务系统，这三个决定 性元素是不会变的，也就意味着结构上不会变，而变的仅仅是数据。两张映射表中记录着三个元素之间的关系。但这些关系完全是人为创建的，需要变化 的时候，只是对数据库中的记录进行操作，无需改动结构。*权限分栏表中记录着系统使用时显示的分栏。无论是要添加分栏，修改分栏还是减少分栏，也只不过是操作记录而已综上所述，这样设计数据库，系统是完全可以重用的，并且经受得住“变更”考验的 总结： 此套系统的重点在于，三张 实体表牢牢地抓住了系统的核心成分，而两张映射表完美地映射 出三张实体表之间的交互。其难点在于，理解映射表的

17、工作，它记录着关系，并且实现了“组”操作的概念。而系统总体的设计是本着可以在不同的 MIS系统中“重用”来满足不同 系统的功能权限设置。附录: 权限管理系统数据表的字段设计下面我们来看看权限管理系统的数据库表设计，共分为六张表，如下图:action 表:J action :表字段名称vi文本是否可见acti oiii d acti oruiameaction自増长记动作名称动作分栏号C映射到acti ncclumn )动作字符串action表中记录着系统中所有的动作，以及动作相关描述actioncolumn 表：Jact ioncoluAn :表子段名荊数据类型说明acti数字自増民皿a1文本

18、动作分栏名称勺actioncolumn表中记录着动作的分栏，系统运行时，左侧菜单栏提供了几块不同的功能，每一块就是一个分栏，每添加一个分栏，该表中的记录就会增加一条，相对应的，左侧菜单栏中也会新增机一个栏。action group 表:actlongroup :表字段名称数据类型 说明i<Aactiond!h4E eriderrLinit字字字T本賜 數數数数丈目自増3动作名称（腆射到a:tion表丁动作所属鉅idl映射到ma.Etergroup? 刨建者诃刨連者名称刨運时何action group 表记录着动作所在的组。groupman ager 表:groupAanageir字段名称数据类型master name c