...
基本功能
授权模型包含:功能授权、数据访问授权二个层次。
(一)基本功能
...
功能授权可以通过基于功能授权和基于组织授权进行控制,其中操作授权是功能树中的一级功能,开启操作授权后会在功能树中列出来。
数据访问授权是利用用户或用户组根据事先定义的授权规则过滤数据。
授权规则是用户定义的数据访问的生效条件,可以通过定义授权规则来实现数据层面的权限控制,授权规则的特性如下:
- 权限的继承性:功能授权、类和类属性授权(访问控制),对组织树(用户组)的授权都具有继承性。
- 当设置了父组织(用户组)的权限,其下的子组织(包括子用户组和用户)会继承父组织的权限规则;如果对某个子用户组或者用户收回权限,该子用户组/用户权限规则优先级高于父组织的权限规则,子用户组/用户的权限将不再受到父用户组的影响。
(一)基于功能授权
基于功能实现对组织的授权,通常用于对新增的功能实现对组织的授权。
...
(二)基于组织授权
基于组织和用户实现对应用通道和功能树的授权。
基于功能的授权和基于组织的授权其本质都是基于组织对功能进行授权。功能授权采用白名单机制,权限粒度为模块、模块操作;即默认普通用户没有查看和操作应用及功能(模块及模块操作)的权限;需要管理员根据实际业务添加用户(组)对具体应用的功能权限。
| 信息 | ||
|---|---|---|
| ||
|
...
(三)操作授权
基于功能授权还有一种情况是基于操作的授权
- 操作授权是针对表单中的操作(按钮)进行授权的方式。
- 默认用户都有对表单操作使用的权限。可通过“操作”控件设置区“开启授权”,在“管理授权”处对指定用户(组)赋予权限时,仅授权用户具有表单中的操作权限,非授权用户无表单中的操作权限。
| 信息 | ||
|---|---|---|
| ||
|
...
(四)数据访问控制
”访问控制“是针对类和类属性的授权方式。访问权限粒度为类、类属性。对类操作访问控制授权包括:新增,删除, 修改,查询;对属性操作访问控制授权包括:编辑,查询。
...
- 独立模式:是按照用户/用户组进行授权;
- 批量模式:可以按照用户/用户组进行“批量允许”或“批量禁止”的授权操作,批量授权模式支持勾选方式 。
...
(五)对象访问控制
针对符合属性授权规则中的对象进行访问控制的方式,称为对象访问授权。
...
4)将前述查询的关联类的结果集与左/右对象的对象授权规则的结果集取交集返回。
(三)授权规则
(1)权限的继承性:功能授权、类和类属性授权(访问控制),对组织树(用户组)的授权都具有继承性。
...
建模过程
(一)基于组织授权
”基于组织授权“的建模过程:
...