隨著企事業(yè)單位信息化的加速發(fā)展，特別是政府、事業(yè)單位、企業(yè)等領(lǐng)域，由于日常部門(mén)較多、分工較細(xì)化，對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限控制管理的靈活性、易維護(hù)性提出了更高的需求，因此，高效且先進(jìn)的權(quán)限控制方式是十分必要的。對(duì)于在網(wǎng)站環(huán)境中的訪(fǎng)問(wèn)控制方法，基于角色的訪(fǎng)問(wèn)控制方法（RBAC）是目前公認(rèn)的解決中大型網(wǎng)站信息化的統(tǒng)一資源訪(fǎng)問(wèn)控制的有效方法。其顯著的兩大特征是：

　　1、減小授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷(xiāo)。
　　2、靈活地支持網(wǎng)站的安全策略，并對(duì)網(wǎng)站職能的變化有很大的伸縮性。

　　動(dòng)易SiteFactory? CMS 正是一套以面向政府、事業(yè)單位、企業(yè)等領(lǐng)域?yàn)殚_(kāi)發(fā)對(duì)象的企業(yè)級(jí)內(nèi)容管理系統(tǒng)，它采用的就是基于標(biāo)準(zhǔn)RBAC模型（角色）的訪(fǎng)問(wèn)控制方法。如下圖所示，傳統(tǒng)權(quán)限與動(dòng)易SiteFactory? CMS角色的對(duì)比圖：

　　從對(duì)比可以看出，目前國(guó)內(nèi)大大小小的內(nèi)容管理系統(tǒng)（CMS）和信息管理系統(tǒng)，大都采用的是靜態(tài)的權(quán)限控制方法或者會(huì)員組的較原始權(quán)限形態(tài)，不能夠滿(mǎn)足目前互聯(lián)網(wǎng)信息爆炸時(shí)代的高維護(hù)性、高靈活性、高統(tǒng)一性的特點(diǎn)，特別是各信息門(mén)戶(hù)、復(fù)雜網(wǎng)店及行業(yè)垂直信息領(lǐng)域的應(yīng)用需求，因此，角色（RBAC模型）在CMS中的應(yīng)用必將是趨勢(shì)所在。那么，它究竟有何魔力呢？今天將要介紹的內(nèi)容就是結(jié)合動(dòng)易SiteFactory?中角色的權(quán)限分配來(lái)為你解答。

　　角色的概念

　　角色是用戶(hù)在某個(gè)環(huán)境中的身份，這個(gè)身份擁有某些相匹配的權(quán)限。角色也一種是自定義權(quán)限的集合，您可以建立多個(gè)角色，并給每個(gè)角色指定多個(gè)權(quán)限。 例如學(xué)校網(wǎng)站的教師、學(xué)生、論壇管理員都是一種角色。對(duì)于每一個(gè)角色，他可以擁有一系列權(quán)限，而這些權(quán)限是相對(duì)固定的。

　　動(dòng)易SiteFactory? CMS的角色是通過(guò)標(biāo)準(zhǔn)RBAC（基于角色的訪(fǎng)問(wèn)控制）模型實(shí)現(xiàn)的，下圖為SiteFactory? CMS中角色應(yīng)用舉例示意圖。我們建立了“倉(cāng)管”、“財(cái)務(wù)人員”、“銷(xiāo)售員”、“設(shè)計(jì)師”、“欄目編輯”、“總編”等角色，并且它們都具有相對(duì)獨(dú)立的控制權(quán)限。將張三、李四、王五賦予不同的角色后，他們就擁有了一系列權(quán)限。從圖中看出用戶(hù)與角色是多對(duì)多的關(guān)系。即一個(gè)用戶(hù)可以屬于多個(gè)角色之中，一個(gè)角色可以包括多個(gè)用戶(hù)。

　　角色的特點(diǎn)

　　1、訪(fǎng)問(wèn)權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同的權(quán)限。用戶(hù)以什么樣的角色對(duì)資源進(jìn)
行訪(fǎng)問(wèn)，決定了用戶(hù)擁有的權(quán)限以及可執(zhí)行何種操作。

　　比如：我們使用動(dòng)易SiteFactory? CMS在后臺(tái)添加一個(gè)“訂單處理員”的角色，擁有“查看訂單”、“修改訂單”、“刪除訂單”、“訂單作廢”的權(quán)限；添加“訂單結(jié)算員”的角色，擁有“訂單過(guò)戶(hù)”、“訂單關(guān)閉”的權(quán)限。賦予張三“訂單處理員”的角色，那么張三就擁有了“查看訂單”、“修改訂單”、“刪除訂單”、“訂單作廢”的權(quán)限，而不具備“訂單結(jié)算員”的權(quán)限。

　　2、角色繼承。角色之間可能有互相重疊的職責(zé)和權(quán)力，屬于不同角色的用戶(hù)可能需
要執(zhí)行一些相同的操作。RBAC 采用角色繼承的概念，如：角色 2 繼承角色 1，那么管理員在定義角色 2 時(shí)就可以只設(shè)定不同于角色1 的屬性及訪(fǎng)問(wèn)權(quán)限，避免了重復(fù)定義。

　　比如：我們需要對(duì)“訂單處理員”和“訂單結(jié)算員”進(jìn)行人員管理和操作監(jiān)督，需要建立“訂單監(jiān)督員”這么一個(gè)角色，它必須擁有處理員和結(jié)算員的權(quán)限外，還需要擁有“角色管理”、“查看操作日志”、“投訴管理”的權(quán)限，因此，根據(jù)角色的繼承特點(diǎn)，在SiteFactory? CMS 后臺(tái)的角色管理中，只需要給“訂單監(jiān)督員”添加“角色管理”、“查看操作日志”、“投訴管理”的權(quán)限，然后同時(shí)賦予李四“訂單監(jiān)督員”、“訂單處理員”、“訂單結(jié)算員”的角色就可以了。

　　* 角色的繼承特點(diǎn)也是區(qū)別與傳統(tǒng)會(huì)員組的比較明顯的特點(diǎn)了。
 
　　3、最小權(quán)限原則，即指用戶(hù)所擁有的權(quán)力不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。實(shí)現(xiàn)最小特權(quán)原則，需要分清用戶(hù)的工作職責(zé)，確定完成該工作的最小權(quán)限集，然后把用戶(hù)限制在這個(gè)權(quán)限結(jié)合的范圍之內(nèi)。一定的角色就確定了其工作職責(zé)，而角色所能完成的事物蘊(yùn)涵了其完成工作所需的最小權(quán)限。用戶(hù)要訪(fǎng)問(wèn)信息首先必須具有相應(yīng)的角色，用戶(hù)無(wú)法饒過(guò)角色直接訪(fǎng)問(wèn)信息。

　　比如：以動(dòng)易SiteFactory? CMS投稿功能為例，會(huì)員添加文章后需要等待管理員進(jìn)行審核，審核的過(guò)程中可能會(huì)涉及到文章的修改、退稿、存檔、刪除、短信通知的操作，因此，如果我們需要建立專(zhuān)門(mén)的文章審核員，那么它需要至少擁有文章的修改、退稿、存檔、刪除、短信通知的操作權(quán)限，那么文章審核員的最小權(quán)限就是以上的操作權(quán)限。這樣，不僅讓各環(huán)節(jié)人員清楚自己的工作職責(zé)，而且可以對(duì)網(wǎng)站權(quán)限的合理分配進(jìn)行優(yōu)化。

　　4、職責(zé)分離。一般職責(zé)分離有兩種方式：靜態(tài)和動(dòng)態(tài)。
　　靜態(tài)是固定的限制某類(lèi)用戶(hù)的控制權(quán)限；
　　動(dòng)態(tài)是如用戶(hù)組、角色等可以管理員動(dòng)態(tài)控制用戶(hù)的控制權(quán)限。目前一些主流的CMS都是以動(dòng)態(tài)為主。

　　動(dòng)易SiteFactory? CMS 職責(zé)分離進(jìn)行了加工，不僅可以根據(jù)傳統(tǒng)的后臺(tái)管理功能權(quán)限來(lái)劃分，而且可以根據(jù)不同欄目、模型的字段權(quán)限（如：錄入、刪除、瀏覽）等進(jìn)行劃分?？梢哉f(shuō)將權(quán)限劃分管理從“片”精確到了“點(diǎn)”上。

　　角色的應(yīng)用優(yōu)勢(shì)

　　1、接近現(xiàn)實(shí)世界

　　在現(xiàn)實(shí)世界中，角色間往往存在著相互排斥性。例如，一個(gè)銀行系統(tǒng)中，如果某個(gè)用戶(hù)是貸款角色中的一員，那么這個(gè)用戶(hù)絕對(duì)不可以再屬于借款角色。顯然，角色間相互排斥性的存在是十分必要的，它避免了用戶(hù)為自己的利益而對(duì)組織進(jìn)行破壞活動(dòng)。由此可見(jiàn)，角色模型直接體現(xiàn)出了現(xiàn)實(shí)世界中普遍存在的角色間的相互排斥關(guān)系以及活躍排斥關(guān)系，較好地把模型與現(xiàn)實(shí)世界中普遍存在的現(xiàn)象結(jié)合在了一起，從而大大縮小了模型與現(xiàn)實(shí)世界的差距，使之接近了現(xiàn)實(shí)世界。

　　接近現(xiàn)實(shí)世界的最突出的優(yōu)點(diǎn)在于：系統(tǒng)管理員能夠借鑒常識(shí)和現(xiàn)實(shí)中積累的經(jīng)驗(yàn)對(duì)部門(mén)、學(xué)校、企業(yè)的安全政策劃分不同的角色，執(zhí)行特定的任務(wù)。一個(gè)系統(tǒng)建立起來(lái)后主要的管理工作即為授權(quán)或取消用戶(hù)的角色。用戶(hù)的職責(zé)變化時(shí)只需要改變角色即可改變其權(quán)限；當(dāng)組織功能變化或演進(jìn)時(shí)，則只需刪除角色的舊功能，增加新功能，或定義新角色，而不必更新每一個(gè)用戶(hù)的權(quán)限設(shè)置。這極大的簡(jiǎn)化了授權(quán)管理，使對(duì)信息資源的訪(fǎng)問(wèn)控制能更好地適應(yīng)特定單位的安全策略。

　　2、全面性

　　全面性的優(yōu)勢(shì)體現(xiàn)在為系統(tǒng)管理員提供了一種比較抽象的、與企業(yè)通常業(yè)務(wù)管理性類(lèi)似的權(quán)限訪(fǎng)問(wèn)控制層次。通過(guò)定義、建立不同的角色、角色的繼承關(guān)系、角色之間的聯(lián)系以及相應(yīng)的限制、管理員可動(dòng)態(tài)或靜態(tài)地規(guī)范用戶(hù)的行為。

　　從角色的特點(diǎn)和優(yōu)勢(shì)來(lái)看，內(nèi)容管理系統(tǒng)應(yīng)用角色來(lái)控制用戶(hù)訪(fǎng)問(wèn)權(quán)限要比傳統(tǒng)會(huì)員組固定權(quán)限簡(jiǎn)便和專(zhuān)業(yè)的多。特別是角色應(yīng)用的優(yōu)勢(shì)規(guī)定了用戶(hù)各盡其職，像公司部門(mén)組織一樣，具有一定的個(gè)人角色和部門(mén)角色。人員關(guān)系、組織的清晰化，利于提高整體網(wǎng)站的業(yè)務(wù)水平、節(jié)省人力成本和優(yōu)化工作流程。