目前数据权限的大概需求如下:
监督员默认只可以看见自己的数据,但经过授权后可以看到其他监督员的数据
A部门部长默认只能看到A部门的数据,但经过授权后可以看到其他部门的数据
分管领导只能看到分管部门的数据
站长可以看到所有的数据
目前我的做法是基于用户的,使用ACL来做的。
就是会建立一张ACL表,记录数据授权情况。如:
acl表
----------------------------------------------
id userId principalId principalType
1 zhangsan zhangsan person
2 zhangsan lisi person
3 zhangsan dept1 department
上面的数据表示
zhangsan这个人可以看到自己、李四和dept1这个部门的数据。
然后提供一个授权界面,界面原型大概如下:
自己
用户----->弹出人员列表
部门----->弹出部门列表
所有
这样的话,系统管理员就可以勾选自己、某个人、某个部门的形式来给用户进行数据授权。授权的情况就
存放到ACL表中去。
我问的是:
第一、我上面的基于用户的做法可以做到吗?有什么致命缺陷没?
第二、数据权限一般来说是基于角色还是用户的。基于角色的有什么好处?
监督员默认只可以看见自己的数据,但经过授权后可以看到其他监督员的数据
A部门部长默认只能看到A部门的数据,但经过授权后可以看到其他部门的数据
分管领导只能看到分管部门的数据
站长可以看到所有的数据
目前我的做法是基于用户的,使用ACL来做的。
就是会建立一张ACL表,记录数据授权情况。如:
acl表
----------------------------------------------
id userId principalId principalType
1 zhangsan zhangsan person
2 zhangsan lisi person
3 zhangsan dept1 department
上面的数据表示
zhangsan这个人可以看到自己、李四和dept1这个部门的数据。
然后提供一个授权界面,界面原型大概如下:
自己
用户----->弹出人员列表
部门----->弹出部门列表
所有
这样的话,系统管理员就可以勾选自己、某个人、某个部门的形式来给用户进行数据授权。授权的情况就
存放到ACL表中去。
我问的是:
第一、我上面的基于用户的做法可以做到吗?有什么致命缺陷没?
第二、数据权限一般来说是基于角色还是用户的。基于角色的有什么好处?
基于角色的话,对于有些系统能搞定,维护量也有那么大,代码里面也有很多判断工作。比如总公司人力资源经理,分公司人力资源经理(有的时候还要拆分为北京分公司人力资源经理、上海分公司人力资源经理.....)可见复杂度。
建议使用开源软件ralasafe, http://www.ralasafe.com/zh 国产的开源中间件,而不是框架,对你的应用和数据库都没有要求。在银行和电信都有应用案例。