1.权限管理主要组成分为两部分a)授权（正向授权和负向授权）b)认证2.权限其实就是对资源的控制（对web应用来说就是url的控制），资源指的是功能和操作3.权限一般分分类a)功能权限（我们目前需要做的）b)数据权限（主要控制对数据的访问，如：张三只能查询他自己的流向单，不能看到其他人的流向单）4.RBAC(RoleBasedAccessControl)基于角色的访问控制，RBAC是一种分析模式，主要分为a)RBAC0，是RBAC的核心b)RBAC1，它是RBAC角色的分层模型c)RBAC2，它是RBAC约束模型d)RBAC3，它是RBAC1+RBAC25.RBAC认为授权实际上是Who、What、How三元组之间的关系，也就是Who对What进行How的操作，也就是“主体”对“客体”的操作a)Who，是权限的拥有者或主体（如：User，Role）b)What，是资源或对象（Resource，Class）6.RBAC0RBAC0,RBAC的核心RBAC（RoleBasedAccessControl）基于角色的访问控制RBAC0RBACRBAC0是的核心，由四部分构成：1、用户（User）、2、角色（Role）3、许可（Pemission）4、会话（Session）许可操作对象用户会话11角色0..n0..n0..n0..n0..n0..n0..n0..n0..n11110..n用户和角色是多对多的关系角色和许可市多对多的关系会话是动态的概念，用户必须通过会话才可以计划角色，每个用户进入系统就拥有了自己的会话，会话是动态生成的，属于当前用户，通过会话可以取得角色和许可7.RBAC1RBAC1,RBAC角色分层模型RBAC（RoleBasedAccessControl）基于角色的访问控制RBAC0RBACRBAC1RBAC0是的核心，建立在的基础之上的，在角色中引入了继承的概念，有了继承那么就有了上下级关系（等级关系）许可操作对象用户会话111角色0..n0..n0..n0..n0..n0..n0..n0..n0..n10..n110..n0..n1+children+parent8.RBAC2RBAC2,RBAC的约束模型RBAC（RoleBasedAccessControl）基于角色的访问控制RBAC0RBACRBAC2RBAC0RBAC0是的核心，是建立在的基础之上的，在的基础之上加SSDStaticSeparationofDuty入了约束的概念，主要引入了静态职责分离（）和动态职责分DSDDynamicSeparationofDuty离（）SSD是用户和角色的指派阶段加入的，主要对用户和角色有如下约束：1、互斥角色：同一个用户在两个互斥角色中只能选择一个，如：不能同时授予一个人既是出纳又是会计2、基数约束：一个用户拥有的角色是有限的，一个角色拥有的许可也是有限的3、先决条件约束：用户想获得高级角色，首先必须拥有低级角色，如果想得到采购经理的角色，那么必须先拥有采购员的角色DSD是会话和角色之间的约束，可以动态的约束用户拥有的角色，如：一个用户拥有三个角色，可以运行时只激话一个，主要用户角色激活阶段许可操作对象用户约束（SSD）会话1111约束（DSD）角色0..n0..n0..n0..n0..n0..n0..n0..n0..n10..n19.RBAC3RBAC3,RBAC1RBAC2是和的合集RBAC（RoleBasedAccessControl）基于角色的访问控制RBAC0RBACRBAC3RBAC1RBAC2RBAC3是的核心，是和的合集，所以既有角色分层又有约束的一种模型许可操作对象用户约束（SSD）会话约束（DSD）111角色0..n0..n0..n0..n0..n0..n0..n0..n0..n10..n110..n+parent+children0..n110.权限模型一Role<<>>角色RoleResource<<>>角色资源10..n+role10..nResource<<>>资源10..n+res10..nUserRole<<>>用户角色10..n+role10..nEmployee<<>>员工User<<>>用户10..n+user10..n11+emp11UserResource<<>>用户资源10..n+res10..n10..n+user10..n一个用户拥有的资源（许可）是这个用户拥有的角色对应的所有的资源加上这个用户特殊授权的资源的合集11.权限模型二一个用户拥有的资源（许可）是这个用户拥有的角色对应的所有的资源加上这个用户特殊授权的资源的合集Employee<<>>员工UserRole<<>>用户角色User<<>>用户10..n+user10..n11+emp11Role<<>>角色10..n+role10..nResource<<资源>>Acl主题类型<<>>访问控制列表10..n+user10..n10..n+role10..n11+res1112.ERP中的权限模型Employee<<>>id:String员工标识<<>>empCode:String员工代码<<>>empName:String姓名<<>>sex:String性别<<>>birthday:Date出生日期<<>>contactTel:String联系电话<<>>email:String电子邮件<<>>zjm:String助记码(from)组织机构<<>>员工UserRole<<>>id:...