關于OA系統(tǒng)權限管理的設計方案

昆明市第三中學 張順攀

用戶權限管理是辦公系統(tǒng)中最重要的組成部分，設計一個良好的權限管理體系，可以整合許多零散應用系統(tǒng)的授權問題，節(jié)約大量人力物力，本文主要對辦公系統(tǒng)中的權限管理方式進行分析，實現(xiàn)權限動態(tài)管理，在實踐中取得了良好的效果。

1 問題的來源

辦公自動化（Office Automation，OA）是將辦公和計算機網(wǎng)絡功能結合起來的一種新型的辦公方式，是當前新技術革命中一個技術應用領域，屬于信息化社會的產(chǎn)物。目前大部分公司、企事業(yè)單位都會使用很多辦公系統(tǒng)，這些系統(tǒng)有些是上級統(tǒng)一配置的，有些是單位自己購買的，還有些是單位自主開發(fā)的。就我校而言，每個部門都在使用著很多系統(tǒng)，例如上級統(tǒng)一配置的有：學校辦公室使用的事業(yè)單位OA系統(tǒng)、人事管理系統(tǒng)、工資管理系統(tǒng)；教務處使用的中高考報名系統(tǒng)、學業(yè)水平考試管理系統(tǒng)；總務處使用的財務管理系統(tǒng)、固定資產(chǎn)管理系統(tǒng)等。學校自行購買的有一卡通管理系統(tǒng)、圖書管理系統(tǒng)，學生學籍成績管理系統(tǒng)、校園只能廣播系統(tǒng)、選課系統(tǒng)、閱卷系統(tǒng)、課堂評價系統(tǒng)等。除此之外，學校還自主開發(fā)了校園網(wǎng)站、小升初網(wǎng)絡報名系統(tǒng)、初高中入學管理系統(tǒng)、報刊訂閱系統(tǒng)、教師網(wǎng)絡辦公系統(tǒng)、投票系統(tǒng)等。系統(tǒng)繁多且操作復雜，相關人員還需要記憶若干個系統(tǒng)的用戶名密碼，給工作人員帶來了眾多不便，并且若每個應用系統(tǒng)都重新對系統(tǒng)的權限進行設計，以滿足不同系統(tǒng)用戶的需求，也將會浪費開發(fā)者不少時間，所以花時間來設計一個相對通用的權限系統(tǒng)是很有意義的。

作為一名專業(yè)技術人員，筆者一直想嘗試將學校自主開發(fā)的所有系統(tǒng)整合，讓相關人員使用同一套用戶名密碼解決所有登錄問題，這就需要用統(tǒng)一的權限系統(tǒng)進行管理，本系統(tǒng)的設計目標是對應用系統(tǒng)的所有功能進行權限控制，比如應用系統(tǒng)的功能菜單、各個界面的按鈕控件等進行權限的操控。

2 設計思路

利用用戶，角色，部門，權限的相互組合，形成一個強大的權限管理系統(tǒng)。其具體方案如下：

2.1 設計四個基本表

包括權限表、用戶表、角色表、部門表（部門表可依據(jù)實際應用環(huán)境更名或者刪除）

權限表：權限主要是指系統(tǒng)的功能權限，負責存儲系統(tǒng)中所有功能模塊的路徑，調(diào)用方法（包括POST和GET）及增、刪、改、查操作，通過權限控制用戶是否具有該功能的操作權限。

用戶表：用戶表僅僅是純粹的用戶信息，含用戶名、密碼、姓名、電話、EMAIL等基本信息權限。

角色表：負責存儲角色ID、角色名稱、創(chuàng)建時間等基本信息。

部門表：存儲部門ID、部門名稱、職責、部門負責人等信息。

2.2 創(chuàng)建相互關系（如圖1所示）

（1）用戶的權限通過角色來控制，一個角色擁有多個功能權限。

（2）一個用戶可以擁有若干個角色，用戶通過角色獲取功能權限。

（3）一個部門可以擁有若干個角色，部門通過角色獲取功能權限。

（4）一個用戶可以屬于若干部門，用戶可以通過部門獲取角色，進而得到功能權限。

圖1 創(chuàng)建相互關系

（5）特殊權限：用戶可以跳過角色直接獲取或被禁止訪問功能權限，一個用戶可以擁有若干特殊權限。若用戶擁有特殊權限，則特殊權限有最高優(yōu)先級，如一個用戶U通過角色R得到功能權限A的訪問權，但該用戶U的特殊權限表明U禁止訪問功能權限A，則U將無法得到功能權限A的訪問權。

注：若系統(tǒng)不需要部門表，只需要將部門表及其相互關系刪除即可，不會影響到其他表。

3 權限操作流程

用戶權限系統(tǒng)的核心由以下三部分構成：創(chuàng)造權限、分配權限和使用權限。如圖2所示。

圖2 創(chuàng)建權限信息

（1）創(chuàng)建權限信息，指定系統(tǒng)模塊具有哪些權限。

（2）由系統(tǒng)管理員創(chuàng)建用戶和角色，并指定用戶角色和角色權限的關聯(lián)關系。同時由系統(tǒng)管理員創(chuàng)建部門，并指定用戶和部門，部門和角色權限的關聯(lián)關系。如圖3所示。

圖3 系統(tǒng)管理員創(chuàng)建用戶和角色

（3）用戶使用分配給的權限去使用各個系統(tǒng)模塊，獲得用戶對模塊的使用權限。如圖4所示。

圖4 用戶權限

4 權限審核流程

4.1 校驗用戶是否登錄

如果沒有登錄直接跳轉(zhuǎn)到錯誤頁。

4.2 校驗用戶是否有訪問此功能權限

（1）查詢功能權限

獲取當前請求地址和請求方法對應的權限，如果沒有當前地址對應的權限，直接跳到錯誤頁，如果有則進入下一步。

（2）校驗用戶特殊權限

查看當前用戶有是否和當前權限關聯(lián)，如果有關聯(lián)則進一步獲取訪問類型，若是允許，則直接允許請求，若為禁止訪問，則直接跳到錯誤頁；若該用戶沒有關聯(lián)特殊權限，則進入下一步。

（3）通過用戶角色校驗權限

首先獲取該用戶的所有角色，再得到每個角色的所有權限，將所有角色權限合并到一個集合，再判斷當前的功能權限是否在集合中，若存在，則直接允許請求，否則進入下一步。

（4）通過用戶部門校驗權限

首先獲取該用戶的所有部門，再通過部門獲取角色，進而得到每個角色的所有權限，將所有角色權限合并到一個集合，再判斷當前的功能權限是否在集合中，若存在，則直接允許請求，否則跳到錯誤頁。

小結：以上功能已經(jīng)在我校的OA系統(tǒng)中實踐過，在實際應用中體現(xiàn)出了良好的易用性和可操作性。此外該權限系統(tǒng)也有可擴展的部分，如用戶的菜單權限也可以直接整合到權限表中，只需要在權限表里增加一個字段，判斷該權限是否是菜單權，用戶登錄時前臺菜單顯示根據(jù)角色所擁有的菜單權限所決定，不同的用戶在前端顯示的操作菜單是不一樣的，其菜單權限的操作流程和審核流程與功能權限的流程基本一致。