用户及权限管理

基本概念：

角色
   对系统功能进行相应的权限保护，每一个角色都是系统功能的集合体。

用户组
   对应用资源进行相应的权限保护，每一个组都是应用资源的集合体。

用户
   系统操作主体，跟角色（系统功能集合体）和组（应 用资源集合体）关联，受限于角色和组。

用户权限决定着系统的安全性，用户的权限取决于“角色”和所属的“组”，角色决定了用户能操作的系统功能，而组决定了用户对应用资源的操作权限。

 

建议：

1 合理规划系统各级用户
2 创建相应的角色和用户组
3 创建相应用户
4 给用户分配相应的角色和用户组 

根据用户可能使用的功能来定义角色，如：开发角色、管理角色、业务角色、参数管理角色、参数补录角色等；根据用户可能使用的资源来定义用户组，如：对私业务组、对公业务组、对私管理组、对公管理组……

 

设计描述：

角色分配和用户组分配都引入了继承的机制，即在创建新角色和新用户组时，提供父角色和父用户组的选择，新角色能拥有父角色的所有权限，也就是说，具有角色维护权限的用户，该用户所能分配的权限只能是该用户自己角色所具有权限的一个子集，用户不能创建大于他自己所具有权限的角色，用户组的设置也使用了同样的机制。

设置规则归纳为以下几点：

1.   对分配用户角色的控制，当前用户能分配给用户的角色只能是自身角色的子(孙)角色(不包括该用户自己的角色)，角色之间的父子关系通过在角色表中增加一个父角色字段实现。

2.  对分配用户组的控制，基本思想同角色的分配类似。在用户组之间增加父子关系来约束给用户分配用户组。

3．根据机构代码来维护用户，具有用户维护权限的用户并不是对整个系统的用户进行维护，而是只能对其下属机构的用户进行维护。该项功能是通过机构表的层次关系来实现。

权限管理完成用户、用户组和角色的增、删、改、查等操作，同时通过将系统存在的资源权限指定/取消给角色，从而完成对系统资源权限的分配和再分配工作。

 

角色类型

开发管理人员

主要指从事应用开发的科技人员，要求对系统的开发流程以及开发方式有较深的了解

业务人员

业务人员的主要工作为进行常规的业务分析，关注焦点在业务数据查询及分析，同时形成有价值的业务报表

为角色分配权限

将角色与系统提供的功能模块关联，形成集合单元