目前数据权限的大概需求如下:
监督员默认只可以看见自己的数据,但经过授权后可以看到其他监督员的数据
A部门部长默认只能看到A部门的数据,但经过授权后可以看到其他部门的数据
分管领导只能看到分管部门的数据
站长可以看到所有的数据
目前我的做法是基于用户的,使用ACL来做的。
就是会建立一张ACL表,记录数据授权情况。如:
acl表
id userId principalId principalType
1 zhangsan zhangsan person
2 zhangsan lisi person
3 zhangsan dept1 department
上面的数据表示
zhangsan这个人可以看到自己、李四和dept1这个部门的数据。
然后提供一个授权界面,界面原型大概如下:
自己
用户----->弹出人员列表
部门----->弹出部门列表
所有
这样的话,系统管理员就可以勾选自己、某个人、某个部门的形式来给用户进行数据授权。授权的情况就
存放到ACL表中去。
我问的是:
第一、我上面的基于用户的做法可以做到吗?有什么致命缺陷没?
第二、数据权限一般来说是基于角色还是用户的。基于角色的有什么好处?