1、OA 權(quán)限管理設(shè)計的實現(xiàn)任何系統(tǒng)都離不開權(quán)限的管理 , 有一個好的權(quán)限管理 模塊,不僅使我們的系統(tǒng)操作自如 ,管理方便 ,也為系 統(tǒng)添加亮點。不同職責(zé)的人員，對于系統(tǒng)操作的權(quán)限應(yīng)該是不同的。優(yōu)秀的業(yè)務(wù)系統(tǒng)，這是最基本的功能?？梢詫?“組 ”進行權(quán)限分配。 對于一個大企業(yè)的業(yè)務(wù)系統(tǒng)來說， 如果要求管理員為其下員工逐 一分配系統(tǒng)操作權(quán)限的話，是件耗時且不夠方便的事情。 所以，系統(tǒng)中就提出了對 “組 ”進行操作 的概念，將權(quán)限一致的人員編入同一組，然后對該組進行權(quán)限分配。權(quán)限管理系統(tǒng)應(yīng)該是可擴展的。它應(yīng)該可以加入到任何帶有權(quán)限管理功能的系統(tǒng)中。就像 是組件一樣的可以被不斷的重用， 而不是每開發(fā)一套管

2、理系統(tǒng)， 就要針對權(quán)限管理部分進行重新 開發(fā)。滿足業(yè)務(wù)系統(tǒng)中的功能權(quán)限。傳統(tǒng)業(yè)務(wù)系統(tǒng)中，存在著兩種權(quán)限管理，其一是功能權(quán)限的 管理，而另外一種則是資源權(quán)限的管理， 在不同系統(tǒng)之間， 功能權(quán)限是可以重用的，而資源權(quán)限 則不能。針對 OA 系統(tǒng)的特點，權(quán)限說明：權(quán)限可能對應(yīng)一個菜單，瀏覽、 添加、 修改、在系統(tǒng)中，權(quán)限通過 模塊 +動作 來產(chǎn)生，模塊就是整個系統(tǒng)中的一個子模塊， 動作也就是整個模塊中（在 B/S 系統(tǒng)中也就是一個頁面的所有操作，比如 刪除”等）。將模塊與之組合可以產(chǎn)生此模塊下的所有權(quán)限。 權(quán)限組 為了更方便的權(quán)限的管理，另將一個模塊下的所有權(quán)限組合一起，組成一個 就是一個模塊管理權(quán)

3、限，包括所有基本權(quán)限操作。比如一個權(quán)限組（用戶管理），包括用戶的瀏 覽、添加、刪除、修改、審核等操作權(quán)限，一個權(quán)限組也是一個權(quán)限角色權(quán)限的集合， 角色與角色之間屬于平級關(guān)系， 可以將基本權(quán)限或權(quán)限組添加到一個角色中，用于 方便權(quán)限的分配。用戶組將某一類型的人、具有相同特征人組合一起的集合體。通過對組授予權(quán)限（角色），快速使一類 人具有相同的權(quán)限，來簡化對用戶授予權(quán)限的繁瑣性、耗時性。用戶組的劃分，可以按 職位、項 目或其它來實現(xiàn)。用戶可以屬于某一個組或多個組。通過給某個人賦予權(quán)限，有 4 種方式 （ 參考飛思辦公系統(tǒng) ）A. 通過職位a）在職位中，職位成員的權(quán)限繼承當(dāng)前所在職位的權(quán)限，對于下級

4、職位擁有的權(quán)限 不可繼承。b) 實例中 ：如前臺這個職位，對于考勤查詢有權(quán)限，則可以通過對前臺這個職位設(shè) 置考勤查詢的瀏覽權(quán)，使他們有使用這個對象的權(quán)限，然后再設(shè)置個，考勤查詢權(quán) (當(dāng)然也可以不設(shè)置，默認能進此模塊的就能查詢)，則所有前臺人員都擁有考勤 查詢的權(quán)利。B. 通過項目a) 在項目中，項目成員的權(quán)限來自于所在項目的權(quán)限，他們同樣不能繼承下級項目 的權(quán)限，而對于項目組長，他對項目有全權(quán)，對下級項目也一樣。b) 實例中 ：在項目中，項目成員可以對項目中上傳文檔，查看本項目的文檔, 可以通過對項目設(shè)置一個對于本項目的瀏覽權(quán)來實現(xiàn)進口，這樣每個成員能訪問這個項 目了，再加上項目文檔的上傳權(quán)和

5、查看文檔權(quán)即可。c) 對于組長，因為可以賦予組長一個組長權(quán)(組長權(quán)是個特殊的權(quán)限，它包含其他 各種權(quán)限的一個權(quán)限包)，所有組長對于本項目有全權(quán)，則項目組長可以對于項目 文檔查看，審批，刪除，恢復(fù)等，這些權(quán)限對于本項目的下級項目依然有效。C. 通過角色a) 角色中的成員繼承角色的權(quán)限，角色與角色沒有上下級關(guān)系，他們是平行的。通 過角色賦予權(quán)限，是指沒辦法按職位或項目的分類來賦予權(quán)限的另一種方式，如： 系統(tǒng)管理員，資料備份員b) 實例中 ：對于本系統(tǒng)中， 全體人員應(yīng)該默認都有的模塊， 如我的郵件， 我的文檔， 我的日志，我的考勤 , ，這些模塊系統(tǒng)成員都應(yīng)該有的，我們建立一個角色為系 統(tǒng)默認角色，

6、把所有默認訪問的模塊的瀏覽權(quán)加入到里面去，則系統(tǒng)成員都能訪問 這些模塊。D. 直接指定a) 直接指定是通過對某個人具體指定一項權(quán)限，使其有使用這個權(quán)限的能力。直接 指定是角色指定的一個簡化版，為了是在建立像某個項目的組長這種角色時，省略 創(chuàng)建角色這一個步驟，使角色不至于過多。b) 實例中 ：指定某個項目的組長，把組長權(quán)指定給某個人。針對職位、項目組： 如果用添加新員工，員工調(diào)換職位、項目組，滿足了員工會自動繼承所在職位、項目組的權(quán)限， 不需要重新分配權(quán)限的功能。用戶管理用戶可以屬于某一個或多個用戶組， 可以通過對用戶組授權(quán)， 來對組中的所有用戶進行權(quán)限的授 予。一個用戶可以屬于多個項目組，或擔(dān)

7、任多個職位。授權(quán)管理將一個基本權(quán)限或角色授予用戶或用戶組，使用戶或用戶組擁有授予權(quán)限的字符串，如果角色、職位、項目中存在相同的基本權(quán)限，則取其中的一個；如脫離角色、職位、項目組，只是取消用戶或用戶組的中此角色、 職位、項目組所授予的權(quán)限。用戶所擁有的權(quán)限是所有途徑授予權(quán)限的集合。管理員用戶可以查看每個用戶的最終權(quán)限列表。權(quán)限管理基本操作權(quán)限與權(quán)限組（基本操作權(quán)限的集合）的管理。物理數(shù)據(jù)模型圖如下:tb ModuteModuleCods McdvileN-ime MociuleVlLje UnkUrl Parent ModuleMid jle Desc- ipt ofvarch (4) varc

8、h ji (20 /3rth-3r (20 四rc：hi (256) varth-ar (4J varoh-ar (256)tb ActionAction Code varchar AelionNm vraksr Act ion Value varoharPW PO)lb_ILompanyCompany Coie varchsr3jCcmpanyNamc、-mrukir(20tb Deparrnenlb IRermitDearlrneitCade Departrnent Marne Parent Dep arrmanr Dep artrnent Description Comp any Cod

9、evarchaipj vrchade Rosition Code RoiertGode PermirCode 0i ntY-3rqhar(1C0 v-archtf(lOQ) v-archar(100J vrchar(4OD0)tb UserUfldN-arne Password Pua Nams Dep* 匚 oidvaicharO) varchar(50 varchair(12) vaichr(Jlb PosilionUfeilb PrajHCll56rPositi&n Cods varchar (6 UseridmtProject C ode varchar (3j ll Idvaicha

10、r (100)ImLsmdinc5tb Rojt Parmitb PQiitir PtrmiilRoleC odev archar (3lPermit Cede a*chsri4DOOjPosilioKi v-afcFiar(3|Pei mil Code v-a(char4000PL njectCode varclia r (3Permit Code rjrdiar(4COO)tb RoleRcleCodevarch 占 r3Role Nam varchar(20RbleDscfipban uarcahr25&)tb FbsiiionPosition CodsPosition NairnePo

11、sition De script ion Parent ftssitonD即心d電vrchsT31 varcha(20) varchar(256J varcharf3)varohT(3ib RojettRojectCode FtojQ-lName Preniftcjct Roiec-rDecriprionvarcharfij varcharpO) varckiarPJ vrchar256)物理數(shù)據(jù)模型圖根據(jù)以上設(shè)計思想，權(quán)限管理總共需要以下基本表:tb_User :用戶信息基本表；tb_Depart me nt :部門表；tb_Compa ny:公司表；tb_Module :系統(tǒng)模塊表；tb_

12、Action :系統(tǒng)中所有操作的動作表；tb_Permit_Group授予用戶權(quán)限；：權(quán)限組表，將一模塊的中的所有權(quán)限劃分一個權(quán)限組中，可以通過權(quán)限組tb_Role ：角色表，基本權(quán)限的集合。無上級與下級之分；tb_Position ：職位表，有上級與下級之分；tb_Project ：項目組表，tb_Role_Permit：角色授權(quán)表；tb_Postion_Permit：職位授權(quán)表；tb_Project_Permit：項目授權(quán)表；tb_Project_User：項目成員表， IsLead 字段代表此成員為項目組長；tb_Postion_User：職位成員表；tb_User_Permit：用戶授

13、權(quán)表，用戶 ID 與角色、職位、項目及直接授予的權(quán)限串表；權(quán)限的產(chǎn)生：由 tb_Module 中的 ModuleCode 與 tb_Action 中的 ActionCode 組成權(quán)限代碼 Permit Code=ModuleCode+ActionCode 。實例： ModuleCode=0101 ， ActionCode=01, 則 PermitCode=010101 。權(quán)限值則有 ModuleValue 與 ActionCode 組合而成，采用下劃線來連接。實例： ModuleValue=Sys_User,ActionValue=AdD，PermitValue=Sys_User_Add權(quán)限組

14、：包括一組同一模塊下的權(quán)限的組合，如管理用戶包括基本的權(quán)限：添加、刪除、修改、查 看等，將這些組合起來構(gòu)成一個用戶組 “用戶管理 ”權(quán)限組。 其它類似。 只是為了更方便的查 看系統(tǒng)權(quán)限與權(quán)限的分配。實例：如管理用戶的權(quán)限代碼為010101 a查看用戶，010102 a添加用戶，010103 a刪除用戶，010104a 修改用戶，010105a 審核用戶等，將這些基本權(quán)限組合起來一個集合而構(gòu) 成了 “用戶管理 ”權(quán)限組。角色、職位、項目：也就是按特定的需要劃分一種權(quán)限的集合。使用角色授權(quán)表、職位授權(quán)表、項目授權(quán)表來 實現(xiàn)。授權(quán)表中存放的是權(quán)限代碼 PermitCode, 而不是權(quán)限組的 Grou

15、pCode 代碼。用戶授權(quán)：由用戶授權(quán)表來實現(xiàn)，用戶授權(quán)表中的 RoleCode 、 PositionCode 、ProjectCode 分別 是角色表中 RoleCode 組成的串、職位表 PositionCode 組成的串、 ProjectCode 組成的串。 與角色授權(quán)表中的角色代碼 RoleCode 、職位授權(quán)表中 PositionCode 、項目授權(quán)表中的 ProjectCode 不對應(yīng)（不是主表與從表之間外鍵關(guān)系）。從而能夠?qū)崿F(xiàn)了一個用戶可以擁有多個角色、多個職位、多個項目的情況。用戶授權(quán)表中的 Permit Code 為直接授權(quán)的權(quán)限代碼串，直接給用戶分配權(quán)限。實例：用戶 ID 為 UserId=1 的用戶權(quán)限授權(quán)表的記錄為：RoleCode=001,003PostionCode = 001,002ProjectCode=001,005Permit