您好!
欢迎来到京东云开发者社区
登录
首页
博文
课程
大赛
工具
用户中心
开源
首页
博文
课程
大赛
工具
开源
更多
用户中心
开发者社区
>
博文
>
畅谈 | 如何设计一个融合了组织和岗位的权限模型
分享
打开微信扫码分享
点击前往QQ分享
点击前往微博分享
点击复制链接
畅谈 | 如何设计一个融合了组织和岗位的权限模型
京东科技IoT团队
2020-12-31
IP归属:未知
2947浏览
本文从RBAC的基本原理出发,结合案例对权限设计中一个职位对应多个岗位的的情况进行了说明,并分享了相关权限模型,供大家一起参考和学习 ## 传统RBAC与现实的距离 传统的RBAC(基于角色的访问权限控制)是一个经典的权限管理模型,基本原理是不直接对系统中的用户赋权,而是通过角色作为系统用户和系统资源之间的中介,将资源权限绑定到角色,再将角色绑定到用户,来完成整个赋权的流程,从而简化赋权和修改权限的过程。(多扯一句,这个理念和计算机软件体系中,大家谈到的,当你觉得一个系统太复杂的时候,就给它加一个中间层的“秘笈”不谋而合,可见“世间万物皆有相通之理”) ![](//img1.jcloudcs.com/developer.jdcloud.com/ca963178-2b6a-4c1d-ab75-a8c6702440f720201231154552.png) 上述的基础的RBAC(维基上命名为RBAC0)简单易懂,且容易落地。但是实际工作过程中,人们往往会在基础的RBAC上叠加更多特性,来满足现状的需要。比如从用人制度上,一般都会采取“以岗定人”的用人制度。在权限体系中,当人员调换岗位需要更新此人员的各种权限的时候,只需要更新人员对应的组织关系,那么角色权限会自动进行调整,从而减少了管理人员的工作量,也更符合常见的调岗操作方式。 因此,今天我们来讨论两个方面的问题 1. 组织架构的特点 1. 如何建立组织,岗位和账户的关联模型 先来了解一下组织架构的特点 ## 1.组织架构的特点 * 组织一般是树形结构。在同一层的组织里面,有不同的职位,每个职位的权限都不一样。比如会计和出纳拥有不同的权限 * 在不同职位之间,存在权限的重合。比如办公室主任除了拥有办公室职员的基础权限,主任还拥有更多的审批管理类权限 * 同一个职位会对应多个岗位。同时还会存在一个人身兼多职也就是多个岗位的情况 如下图所示,副总经理这一级组织对应的岗位上,有两人任职,赵子龙和赵德彪。同时赵子龙除了担任副总经理的岗位,还担任了总会计这一级组织里的负责人岗位。 ![](//img1.jcloudcs.com/developer.jdcloud.com/c968036f-ac13-49d8-90e6-33a5da885e0d20201231154606.png) ## 2.组织,岗位,角色,帐号融合后的模型 以上面的组织架构为例,接下来会解密如何设计一个融合了组织和岗位的权限体系。 当然,在此之前需要我们对其一下术语。先来了解一下对每个名词的定义吧。 * 帐号。每一个真实的人,登录系统的场景,我们将这个真实的人用【帐号】来代表。 * 资源:系统中的每一个项,比如所有的菜单,所有的数据列表,所有的页面等。 * 角色。【角色】代表对资源的CRUD控制权限。 * 组织。图1所示就是一个组织架构 * 岗位。与人相对应,一个岗位只能对应一个人,但一人可以同时担任多个岗位。 * 职位。同一个类型的岗位,组成一个职位 一般不会直接将【帐号】与【资源】绑定,原因在前言中也说了,这种粒度过细,会让后期维护的时候非常复杂和耗时。为了方便赋权和后期的维护,可以将【职位】与【角色】绑定。同一个职位下的所有【岗位】拥有同样的角色。如下图所示。 ![](//img1.jcloudcs.com/developer.jdcloud.com/b6778e44-926b-4f56-9c37-5239b1f9832c20201231154619.png) 说明:副总经理赵德彪,需要对应一个他自己的帐号。这个帐号只代表1个岗位,登陆后,系统检查这个帐号代表的是岗位C,岗位C在组织架构中的职位是职位B。接下来,系统发现这个职位B对应了4个角色,即角色2~5。每个角色都分别代表了不同的对资源操作的权限,职位B拥有的是这4个角色权限的总和。最终总结起来,**赵德彪登陆后,拥有操作资源A,操作资源C和...资源...的权限**。 另外一位副总经理赵子龙,需要对应一个他自己的帐号。这个帐号代表了2个岗位,按照上面的逻辑推断步骤,省略中间过程,最终总结起来就是,**赵子龙登陆后,拥有查看资源A,操作资源B和操作资源C的权限。** ## 3.总结 在这篇文章中,首先快速的过了一遍rbac的基本原理,就是将帐号和角色绑定,角色与资源权限绑定,来实现简单合理的权限控制。然后介绍了一个真实的“以岗定人”的组织架构,存在一个职位对应多个岗位,一人多岗的特点。最后给出了一个可实际操作的,包含如何设计带有组织和岗位的权限模型,供参考。欢迎大家一起讨论。 > 作者:刘然
原创文章,需联系作者,授权转载
上一篇:JUST技术-基于时空孪生神经网络的轨迹识别
下一篇:大数据 | ClickHouse在京东能源管理平台的实践
京东科技IoT团队
文章数
13
阅读量
110462
作者其他文章
01
前端 | 小程序横竖屏的坑和 rpx 布局方案
如何避免小程序开发过程中的那些“坑”
01
前端 | Chrome 80 中 Iframe cookie 无法携带的问题
Chrome 80 中 Iframe cookie 无法携带的问题求解过程。
01
NLU | 智能音箱语义理解——MDIS三合一模型
MDIS模型(Unified Model for Multiple Domain Intent and Slot)可以做到同时对话术进行领域分类、意图判断以及填槽。
01
前端 |数据大屏适配方案
数据大屏适配方案详解
京东科技IoT团队
文章数
13
阅读量
110462
作者其他文章
01
前端 | 小程序横竖屏的坑和 rpx 布局方案
01
前端 | Chrome 80 中 Iframe cookie 无法携带的问题
01
NLU | 智能音箱语义理解——MDIS三合一模型
01
前端 |数据大屏适配方案
添加企业微信
获取1V1专业服务
扫码关注
京东云开发者公众号