最近看了別人的設計方法，大多以“整數”來表示權限值，如添加、瀏覽、刪除和修改，分別用1、2、4、8這幾個整數來代替，不過，各人的做法有所不同，舉例如下：

1.用2的n次冪組成權限值的集合，如1、2、4、8、16...，某用戶的權限值為其子集中的整數之和，如 7=1+2+4，5=1+4。如果要從數據庫檢索包含某幾種權限的用戶，則先把這幾種權限值相加，假設和為k，然后select * from table where 1 and 用戶權限值 = 'k'；如果要判斷某用戶有哪些權限，則取出其權限值k，分別用k&1,k&2,k&4,k&16...,如果為真，則表示有值等于“&”右邊整數的權限，例如，如果k&4為真，則此用戶有權限表中值等于4的權限；

2.用質數2、3、5、7、11...組成權限集合，某用戶的權限為其子集中各整數的乘積，如 210 = 2*3*5*7,我覺得這種方法很有趣，難點在于如何分解質因數；但我有些不認同原作者的提法，他認為權限之間可能存在包含關系，如某用戶有刪除權限，則其一定有瀏覽權限，要不然就沒法刪除，事實確實是這樣，不過我認為這樣太復雜了，容易出錯，我覺得權限最好是“原子”的，互不干擾，也就是說某用戶有刪除權限而沒瀏覽權限則其無法進行刪除操作，因為他看不到東西，解決這個矛盾的關鍵是在給用戶賦權時，把瀏覽權限也賦給他；

3.不用整數，而是用“向量表”方法（也許我說的不一定對），把所有可能的權限按一定的順序排列，如添加、瀏覽、修改、刪除...，用戶的權限值為固定100位長度的字符串，如100010100001....01，從左起每一位對應一種操作權限，如果有這種權限，則此位的值為1，反之，則為0，作者之所以把用戶權限值固定為100位，我想是考慮到升級問題，但我認為這還不夠科學，我認為用戶的權限值長度應小于權限個數，舉例如下：
權限排列表：添加、瀏覽、修改、刪除，用戶a有添加和瀏覽的的權限，則其權限值為11，用戶b有瀏覽和修改的權限則其權限值為011，用戶c有瀏覽和刪除的權限則其權限值為0101，這樣設計的好處為：當權限表中增加別的權限時，不會影響用戶表或角色表；

4.我曾經的做法，在后臺管理中把權限分為兩大類：欄目權限和操作權限，每個欄目對應一個目錄，操作權限細分為瀏覽、添加、修改和刪除，用戶進入系統后首先判斷有沒有欄目權限，然后判斷有沒有操作權限，判斷欄目權限相對簡單一些，首先獲取訪問頁面的路徑path，然后分解出目錄，對應用戶擁有的目錄權限，如果此目錄包含在用戶有權管理的目錄數組中（從數據庫取出），則其有進入此目錄的權限，否則，沒有，然而，在判斷操作權限好象有些麻煩，但突然想到添加、瀏覽、修改和刪除與我的文件命名規則是基本是對應的，但有點不同的是，我把添加和刪除的功能合并在一個文件中了，例如文件名為proaddedit.php，幸好意識到修改文件時多了個傳遞參數id，于是，我用正則解決了這個問題，今天看來，這種方法似乎過時了，因為不適應面向對象的思想和用框架體系來開發系統！

以上是個人粗淺的認識和描述，若有錯誤，請各位指正，希望高人給些意見！ 

posted by: trooman 2005-12-28 16:02
咋個這么冷清，一個發表點意見的都沒有？ 

posted by: axgle 2005-12-28 16:05
已收藏。 

posted by: donyad 2005-12-28 16:41
1 2 3 的思想是相同的,只是實現上的手法不同而已
而3后半部分樓主的例子,恕偶愚笨,看不懂

3的做法是很c的,driver級別或者系統級別的程序很常用
比如*nix下的文件權限0755 0777之類

方法1 跟 方法3 原型是一模一樣的,就是二進制位,方法3 是對這個的一個字符串模擬
二進制 十進制
100 4
+ 1 1
------------
101 5

用相互獨立的位來標志權限,就是為了原子性,素數同樣具有這個特性
所以派生出2的做法,而分解質因數,我并不認為這個會是一個問題,因為三種方法都需要去檢查所需要的權限
既然是檢查,除一下所需要的質數即可

而3里面所說的要變長的問題
1和2正好在概念上回避了這個問題
實際上,在c里面用二進制,有個對齊的問題,就是要8位8位的申請,8位8位的用,無所謂太長了浪費
只是象方法3這樣用字符串來模擬二進制時會有浪費
而方法1 2在真正保存時,也是保存成一個int,也是一個申請過來就那么多位的二進制空間,無所謂浪費

擴展和彈性上,方法1和方法2是沒有影響的
對方法3來說是個問題,那是因為方法3模擬得不好... 方法3感覺有豬鼻子插蔥之嫌

--------------

敲code多了,文字表達能力可能不行了,偶說不對的或說不清的地方歡迎大家拍磚,3q
 

posted by: lihun21 2005-12-28 19:27
做個記號先
學習一下
現在還沒有用到這么深的權限系統
我現在只有三種權限的用戶,所以還沒有考慮那么多
超級管理員->普通管理員->普通用戶
我想,我用的是這種模式
用戶+權限 

posted by: wwccss 2005-12-28 20:06
樓主的文章不錯。donyad兄分析的也很有水平。  

posted by: cozo 2005-12-28 20:10
這種東西只要一種方法就可以了。
我就只使用第一種。 

posted by: bitq 2005-12-28 21:47
這個方法我有看到過~~~

用二進制表示權限，不會互相影響，期待做個涉及到這個的項目

高手就是高手~~` 

posted by: binzywu 2005-12-28 22:01
具體怎么標記權限 這個較無所謂
一般的系統
rbac是已經夠用的.

一般access controller有3種
user based
group based
role based

rbac有成熟的理論基礎, 你可以搜索以下, 能搜到很多論文.

但如果不是一般的應用系統, 那么權限系統可能設計需要較為特別. 這里只有普遍理論, 未必有普遍方法.

posted by: terpomo 2005-12-29 00:31
學習了 

posted by: bleakwind 2005-12-29 01:14
我比較落后，我是將每個人的權限組成的數組序列化放入數據庫。。。
每次載入頁面初始化出來。。。 

posted by: nameless 2005-12-29 08:51
見過一個用方法3做的權限判斷，操作很方便，也很靈活

欄目權限用的直接把欄目標識用界定符分隔連接，操作時判斷有沒有這個標識，簡單，對欄目數過多且操作員過多的時候這個數據庫效率應該不高(如果操作員能超過 10w 的話)，呵呵 

posted by: trooman 2005-12-29 11:18
quote (nameless @ 2005-12-29 08:51)
見過一個用方法3做的權限判斷，操作很方便，也很靈活

欄目權限用的直接把欄目標識用界定符分隔連接，操作時判斷有沒有這個標識，簡單，對欄目數過多且操作員過多的時候這個數據庫效率應該不高(如果操作員能超過 10w 的話)，呵呵 

是的，我也認為方法3不會比二進制的效率差，在具體使用時可以用like,str_replace等，還可以模擬二進制。

那種所謂的“欄目”權限管理，現在已經過時了，但思想還是可以沿用的，如“對應欄目”改成“對應模塊”，但實現方式已經截然不同了！ 

posted by: sean.zhuo 2005-12-29 13:51
哪位大哥能給我講解一下"角色"這個概念嗎？不懂什麼叫角色. 

posted by: knighte 2005-12-29 14:50
1和3，本質還是一樣的吧。
1有個好處，節省空間。lz提到開100個權限用來升級。不過我遇到過一個超過100個權限類別的系統，而且用戶樹較多。所以后來壓成了16進制存儲（原來還是一樣），就類似1的處理方法了。
不過3最大的好處應該在于直觀（其實如果權限項很多的話，也不直觀了，呵呵）。

個人認為“權限儲存和判斷的方法”其實還不是“權限設計”的重點和難點。我們還需要考慮其他東西。比如權限的設計結構（rbac/gbac/ubac）的選擇，比如權限在應用系統中的使用……

我gbac（基于組的權限控制）用的比較多。一般的邏輯是：

組成樹型結構，用戶跟組結點

判斷權限，從組根目錄開始往用戶所在組進行遍歷。起始權限為“禁止”

遍歷時，子組權限覆蓋起始權限，直至用戶。

最后用戶權限覆蓋起始權限。得到最終權限碼。

雖然貌似有些繁雜，不過較靈活些。

其次談談權限的使用。通常的做法（至少我是這么做的），即在“所需”時，根據以上邏輯判斷某用戶相對某權限“是否通過”，例如（亂寫的，只是想表示是在需要是進行判斷）：
code 

// when someone posts a new topic
if ($access_controller->check($user, 'post'))
{
   // access passed
   $user->post($content);
}
else
{
   // access denied
   $sys->accessdenied();
}
 

而我一直很想嘗試的，是這樣一種權限使用方法：即在$user實例出來時，已經裝配好他擁有的權限（check once, run anywhere），例如：
code 

class user
{
   var $sid;
   var $name;
   var $passwd;
   var $email;
   // ...

   function __call()
   {
       // it must be a access denied process here
       die('no permission');
   }

   // maybe no other methods here...
}

// we need overload the user class in php4
// for the __call magic method
overload('user');
$user = new user();

// we need a accessinject method to inject accesses into user object
$access_controller->access_inject($user)
// then, the user object includes its access methods...

// ok, we use the user's method directly
$user->post($content);
// if the user object includes the post method, it has the right permission...
 

隨便寫了點，沒有很仔細考慮結構和命名，希望能表達清楚我的意思。
拋磚引玉…… 

posted by: luciferstar 2005-12-29 17:40
做過一個表單，用法1和3保存多選的表單數據。 

posted by: james.liu 2006-01-05 17:10
如果是面向對象的，，傾向于小k的想法

用戶登陸時，，如果用戶名，密碼，什么都對的，允許他登陸時，，實例化用戶信息，包括權限 

posted by: gudai 2006-01-11 16:06
權限設計。頭疼的問題。 

         來源：http://club.phpe.net/index.php?act=print&client=printer&f=2&t=11828