系统权限设计推荐?超级全面的权限系统设计方案
【菜科解读】
权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,菜叶说说,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。
目前在公司负责权限这块,所以对权限这块的设计比较熟悉,公司采用微服务架构,权限系统自然就独立出来了,其他业务系统包括商品中心,订单中心,用户中心,仓库系统,小程序,多个APP等十几个系统和终端
1.权限模型
迄今为止最为普及的权限设计模型是RBAC模型,基于角色的访问控制(Role-Based Access Control)
1.1 RBAC0模型
RBAC0模型如下:
这是权限最基础也是最核心的模型,它包括用户/角色/权限,其中用户和角色是多对多的关系,角色和权限也是多对多的关系。
用户是发起操作的主体,按类型分可分为2B和2C用户,可以是后台管理系统的用户,可以是OA系统的内部员工,也可以是面向C端的用户,比如阿里云的用户。
角色起到了桥梁的作用,连接了用户和权限的关系,每个角色可以关联多个权限,同时一个用户关联多个角色,那么这个用户就有了多个角色的多个权限。
有人会问了为什么用户不直接关联权限呢?在用户基数小的系统,比如20个人的小系统,管理员可以直接把用户和权限关联,工作量并不大,选择一个用户勾选下需要的权限就完事了。
但是在实际企业系统中,用户基数比较大,其中很多人的权限都是一样的,就是个普通访问权限,如果管理员给100人甚至更多授权,工作量巨大。
这就引入了"角色(Role)"概念,一个角色可以与多个用户关联,管理员只需要把该角色赋予用户,那么用户就有了该角色下的所有权限,这样设计既提升了效率,也有很大的拓展性。
权限是用户可以访问的资源,包括页面权限,操作权限,数据权限:
页面权限:
即用户登录系统可以看到的页面,由菜单来控制,菜单包括一级菜单和二级菜单,只要用户有一级和二级菜单的权限,那么用户就可以访问页面
操作权限:
即页面的功能按钮,包括查看,新增,修改,删除,审核等,用户点击删除按钮时,后台会校验用户角色下的所有权限是否包含该删除权限,如果是,就可以进行下一步操作,反之提示无权限。
有的系统要求"可见即可操作",意思是如果页面上能够看到操作按钮,那么用户就可以操作,要实现此需求,这里就需要前端来配合,前端开发把用户的权限信息缓存,在页面判断用户是否包含此权限,如果有,就显示该按钮,如果没有,就隐藏该按钮。
某种程度上提升了用户体验,但是在实际场景可自行选择是否需要这样做
数据权限:
数据权限就是用户在同一页面看到的数据是不同的,比如财务部只能看到其部门下的用户数据,采购部只看采购部的数据,在一些大型的公司,全国有很多城市和分公司,比如杭州用户登录系统只能看到杭州的数据,上海用户只能看到上海的数据,解决方案一般是把数据和具体的组织架构关联起来.
举个例子,再给用户授权的时候,用户选择某个角色同时绑定组织如财务部或者合肥分公司,那么该用户就有了该角色下财务部或合肥分公司下的的数据权限。
以上是RBAC的核心设计及模型分析,此模型也叫做RBAC0,而基于核心概念之上,RBAC还提供了扩展模式。
包括RBAC1,RBAC2,RBAC3模型。
下面介绍这三种类型
1.2 RBAC1模型
此模型引入了角色继承(Hierarchical Role)概念,即角色具有上下级的关系,角色间的继承关系可分为一般继承关系和受限继承关系。
一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。
而受限继承关系则进一步要求角色继承关系是一个树结构,实现角色间的单继承。
这种设计可以给角色分组和分层,一定程度简化了权限管理工作。
1.3 RBAC2模型
基于核心模型的基础上,进行了角色的约束控制,RBAC2模型中添加了责任分离关系,其规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。
责任分离包括静态责任分离和动态责任分离。
主要包括以下约束:
#p#分页标题#e#互斥角色: 同一用户只能分配到一组互斥角色集合中至多一个角色,支持责任分离的原则。
互斥角色是指各自权限互相制约的两个角色。
比如财务部有会计和审核员两个角色,他们是互斥角色,那么用户不能同时拥有这两个角色,体现了职责分离原则
基数约束: 一个角色被分配的用户数量受限;一个用户可拥有的角色数目受限;同样一个角色对应的访问权限数目也应受限,以控制高级权限在系统中的分配
先决条件角色: 即用户想获得某上级角色,必须先获得其下一级的角色
1.4 RBAC3模型
即最全面的权限管理,它是基于RBAC0,将RBAC1和RBAC2进行了整合
1.5 用户组
当平台用户基数增大,角色类型增多时,而且有一部分人具有相同的属性,比如财务部的所有员工,如果直接给用户分配角色,管理员的工作量就会很大,如果把相同属性的用户归类到某用户组,那么管理员直接给用户组分配角色,用户组里的每个用户即可拥有该角色,以后其他用户加入用户组后,即可自动获取用户组的所有角色,退出用户组,同时也撤销了用户组下的角色,无须管理员手动管理角色。
根据用户组是否有上下级关系,可以分为有上下级的用户组和普通用户组:
具有上下级关系的用户组: 最典型的例子就是部门和职位,可能多数人没有把部门职位和用户组关联起来吧。
当然用户组是可以拓展的,部门和职位常用于内部的管理系统,如果是面向C端的系统,比如淘宝网的商家,商家自身也有一套组织架构,比如采购部,销售部,客服部,后勤部等,有些人拥有客服权限,有些人拥有上架权限等等,所以用户组是可以拓展的
普通用户组: 即没有上下级关系,和组织架构,职位都没有关系,也就是说可以跨部门,跨职位,举个例子,某电商后台管理系统,有拼团活动管理角色,我们可以设置一个拼团用户组,该组可以包括研发部的后台开发人员,运营部的运营人员,采购部的人员等等。
每个公司都会涉及到到组织和职位,下面就重点介绍这两个。
1.5.1 组织
常见的组织架构如下图:
我们可以把组织与角色进行关联,用户加入组织后,就会自动获得该组织的全部角色,无须管理员手动授予,大大减少工作量,同时用户在调岗时,只需调整组织,角色即可批量调整。
组织的另外一个作用是控制数据权限,把角色关联到组织,那么该角色只能看到该组织下的数据权限。
1.5.2 职位
假设财务部的职位如下图:
每个组织部门下都会有多个职位,比如财务部有总监,会计,出纳等职位,虽然都在同一部门,但是每个职位的权限是不同的,职位高的拥有更多的权限。
总监拥有所有权限,会计和出纳拥有部分权限。
特殊情况下,一个人可能身兼多职。
1.6 含有组织/职位/用户组的模型
根据以上场景,新的权限模型就可以设计出来了,如下图:
根据系统的复杂度不同,其中的多对多关系和一对一关系可能会有变化
在单系统且用户类型单一的情况下,用户和组织是一对一关系,组织和职位是一对多关系,用户和职位是一对一关系,组织和角色是一对一关系,职位和角色是一对一关系,用户和用户组是多对对关系,用户组和角色是一对一关系,当然这些关系也可以根据具体业务进行调整。
模型设计并不是死的,如果小系统不需要用户组,这块是可以去掉的。
分布式系统且用户类型单一的情况下,到这里权限系统就会变得很复杂,这里就要引入了一个"系统"概念,此时系统架构是个分布式系统,权限系统独立出来,负责所有的系统的权限控制,其他业务系统比如商品中心,订单中心,用户中心,每个系统都有自己的角色和权限,那么权限系统就可以配置其他系统的角色和权限。
#p#分页标题#e#分布式系统且用户类型多个的情况下,比如淘宝网,它的用户类型包括内部用户,商家,普通用户,内部用户登录多个后台管理系统,商家登录商家中心,这些做权限控制,如果你作为架构师,该如何来设计呢?大神可以在评论区留言交流哦!
2.授权流程
授权即给用户授予角色,按流程可分为手动授权和审批授权。
权限中心可同时配置这两种,可提高授权的灵活性。
手动授权: 管理员登录权限中心为用户授权,根据在哪个页面授权分为两种方式:给用户添加角色,给角色添加用户。
给用户添加角色就是在用户管理页面,点击某个用户去授予角色,可以一次为用户添加多个角色;给角色添加用户就是在角色管理页面,点击某个角色,选择多个用户,实现了给批量用户授予角色的目的。
审批授权: 即用户申请某个职位角色,那么用户通过OA流程申请该角色,然后由上级审批,该用户即可拥有该角色,不需要系统管理员手动授予。
3.表结构
有了上述的权限模型,设计表结构就不难了,下面是多系统下的表结构,简单设计下,主要提供思路:
4.权限框架
Apache Shrio
Spring Security
在项目中可以采用其中一种框架,它们的优缺点以及如何使用会在后面的文章中详细介绍.
5.结语
权限系统可以说是整个系统中最基础,同时也可以很复杂的,在实际项目中,会遇到多个系统,多个用户类型,多个使用场景,这就需要具体问题具体分析,但最核心的RBAC模型是不变的,我们可以在其基础上进行扩展来满足需求。
西安城乡的社保可不可以补交
????那么,西安城乡的社保可不可以补交?随新社通小编了解一下详情吧!?(1)西安城乡社保是否支持申请补缴?城乡居民社保缴费可以补交,但具体补交规则需根据社保类型(养老保险或医疗保险)及当地法规来确定。
一、城乡居民社保断交补交城乡居民社保断交是可以补交的,但通常只能补交最近三个月的社保费用。
如果需要补交更长时间的社保费用,可能需要满足一些特定条件,如户口在本地的居民因个人原因错过了缴费时间,可以申请补缴;或者因缴费年限不足需要补交,才能领取养老金。
二、城乡居民医疗保险补交城乡居民医保可以补交。
城镇居民基本医疗保险费实行按年预收制,每年有固定的缴费期,如错过缴费期,通常可以在时间内进行补交。
补交医保的费用和享受医保待遇的时间可能因地区而异,具体需根据当地医保来确定。
具体情况需要根据当地社保法规来确定,建议咨询当地社保经办机构或查阅相关法规。
三、城乡居民养老保险补交城乡居民养老保险是可以补交的,大多数地区都允许一次性补交,也允许在办理退休时,一次性补交。
补交养老保险的费用和具体法规可能因地区而异,建议咨询当地社保经办机构或拨打12333咨询热线获取准确信息。
综上所述,城乡居民社保缴费是可以补交的,但具体补交规则需根据社保类型及当地法规来确定。
在补交社保费用时,建议咨询当地社保经办机构或拨打相关咨询热线获取准确信息,以确保自身权益得到保护。
(2)西安社保断缴可以补缴吗断交的社保是可以补交的。
但具体补交条件因地区、险种和断交时间长短而有所不同。
社保断了是可以进行补缴的。
根据相关法律法规,补缴社保可以通过以下几种方式实现:(一)中介代缴此外,个人还可以选择通过社保代缴机构进行补缴。
这种方式需要个人支付一定的手续费和社保费用,然后代缴机构会协助个人完成补缴手续。
但需要注意的是,选择代缴机构时一定要谨慎,确保其具有资质和良好的信誉。
(二)单位补缴如果是由于单位的原因导致社保中断,那么单位应负责办理补缴手续。
单位可以携带相关证明材料到社保局进行申请,并按照缴费比例和缴费基数进行补缴。
如果个人因辞职等个人原因导致社保中断,也可以请求原单位帮忙补缴,但具体操作需要与原单位协商。
(三)个人补缴个人可以携带身份证原件直接到所在地的社保局办理补缴手续。
在办理过程中,个人需要向社保局提供相关的缴费记录、个人权益记录等证明材料,以便社保局核实个人的缴费情况并进行补缴。
在补缴社保时,个人还需要注意以下几点:1、补缴的费用计算:补缴社保的费用是根据个人的缴费基数和缴费比例来计算的。
个人在办理补缴手续时需要向社保局提供相关的证明材料,以便社保局核实个人的缴费基数和缴费比例并进行费用计算。
2、补缴的时间限制:正常情况下,社保只能补缴过去一段时间内的费用,具体时间限制因地区而异。
因此,个人在办理补缴手续前需要了解清楚当地。
3、滞纳金和罚钱:如果单位未按时足额缴纳社会保险费,社保局会责令其限期缴纳或者补足,并自欠缴之日起按日加收万分之五的滞纳金。
逾期仍不缴纳的,相关部门会处欠缴数额一倍以上三倍以下的钱。
因此,个人在办理补缴手续时需要及时缴纳相关费用,以避免产生额外的滞纳金和钱。
另外,《中华人民共和国社会保险法》第八十六条和第六十三条用人单位未按时足额缴纳社会保险费的,由社会保险费征收机构责令限期缴纳或者补足,并自欠缴之日起按日加收滞纳金;逾期仍不缴纳的,将被处以罚钱。
因此,对于单位来说,及时足额缴纳社会保险费是法律的义务,必须严格遵守。
跨省转移社保需要多长时间时间可以转好
下面随新社通小编一起了解详情。
跨省社保转移通常需要45个工作日。
社保跨省转移需要转移参保关系和社保基金,各地进度不一样,一般在45个工作日之内。
参保人可以在“电子社保卡”微信小程序的社保转移进度查询中看到转移办理的进度。
跨省转移业务不是即时能办结的业务,一般参保人准确申请后,等待办结即可。
这一过程具体分为四个主要环节,且每个环节最多需要15个工作日来完成。
第一个环节由参保人员在新就业地提出基本养老保险关系转移接续的书面申请。
新参保地社保经办机构在收到申请后的15个工作日内会进行审核,符合转移接续条件的,会向原参保地社保经办机构发出同意接收函,同时提供相关信息;对不符合条件的,会向申请单位或参保人员作出书面说明。
第二个环节是原参保地社保经办机构在接到同意接收函后的15个工作日内,需要办理好转移接续的各项手续。
第三个环节则是新参保地经办机构在收到参保人员原基本养老保险关系所在地社保经办机构转移的基本养老保险关系和资金后,应在15个工作日内办结相关手续,并及时告诉用人单位或参保人员确认情况。
总的来说,社保跨省转移的时间主要取决于以上四个环节的完成情况,整个流程最多需要45个工作日。
养老保险缴费年限是累计计算的,转移过程中允许有空档期,参保人员可以选择补缴或不补缴。
总的来看,跨省社保转移后缴费年限的累计计算方式取决于转移的具体类型。
在办理转移手续时,应仔细核对个人信息和缴费年限,确保转移结果的准确无误。
一分钱不交60岁能领养老金吗?一分钱不交60岁不能领养老金,一般情况下,参保人员需要缴纳满15年的基本养老保险,才能在达到法定退休年龄后领取基本养老金。
如果没有缴纳养老保险费,是无法领取养老金的。
因此,如果没有缴纳养老保险费,即“一分钱不交”,是无法在60岁时领取养老金的。
如果想要在退休后有稳定的养老金收入,应当按照法规参加基本养老保险并按时足额缴纳养老保险费。
