一个比较专业的权限控制思路

这里介绍一种很常用，也比较Professor 的权限控制思路。

为了方便，我们这里定义a ^ b 为：a 的b 次方，并且为每一个操作设定一个唯一的整数值，例如：

删除Ａ → 0

修改Ａ → 1

添加Ａ → 2

删除Ｂ → 3

修改Ｂ → 4

添加Ｂ → 5

……

理论上可以有N 个操作，这取决于你用于储存用户权限值的数据类型了。

这样，如果用户有权限：添加Ａ → 2 ；删除Ｂ → 3 ；修改Ｂ → 4

那用户的权限值 purview =2 ^ 2+2 ^ 3+2 ^ 4 ＝28 ，也就是2 的权的和了，化成二进制可以表示为11100 。

如果要验证用户是否有删除Ｂ的权限，就可以通过位与运算来实现。

即是：int value = purview & ((int)Math.pow(2,3)) ；

你会发现，当用户有操作权限时，运算出来的结果都会等于这个操作需要的权限值！

原理：

位与运算，顾名思义就是对位进行与运算：

以上面的式子为例：purview & 2 ^ 3 也就是28 & 8

将它们化成二进制有：

　  11100

＆ 01000

-------------------

　 01000 == 8 ( 十进制)  == 2 ^ 3

同理，如果要验证是否有删除Ａ → 0 的权限

可以用：purview & ((int)Math.pow(2,0));

即：

　 11100

＆ 00001

--------------------

　 00000 == 0 ( 十进制) ！= 2 ^ 0

这种算法的一个优点是速度快，可以同时处理N 个权限。

如果想验证是否同时有删除Ａ → 0 和删除Ｂ → 3 的权限

可以用purview & (2 ^ 0+2 ^ 3)==(2 ^ 0+2 ^ 3) ? true : false;

设置多角色用户。根据权限值判断用户的角色……

下面提供一个Java 的单操作权限判断的代码：

//userPurview是用户具有的总权限
//optPurview是一个操作要求的权限为一个整数（没有经过权的！）
public static boolean checkPower(int userPurview, int optPurview) {
　　int purviewValue = (int)Math.pow(2, optPurview);
　　return (userPurview & purviewValue) == purviewValue;
}

 

当然，多权限的验证只要扩展一下就可以了。

几点注意事项：首先，一个系统可能有很多的操作，因此，请建立数据字典，以便查阅，修改时使用。其次，如果用数据库储存用户权限，请注意数值的有效范围。操作权限值请用唯一的整数！

补充：如果用Java 的int 类型的话，是32 位，最多只能保存31 个权限的运算，而对64 位的，估计也只能保存63 个权限，因此，对于更多的权限，应该进行分组，而且，过多的权限放在一起，也不易管理。  

对于2 的Ｎ次方来说，从硬件最底层来说，只是Ｎ次左移而已，因此并不会占用太多的资源。当然，对于一些极端情况，可能并不是一种很好的解决方案，但对于一般的中小型系统，已经足够应付！此处只是对一种算法的介绍，并不带任何的排它性！！！（声明：此文援引自网络，个人感觉不错，所以贴出来供大家学习交流使用）

评论

48 楼 xudongwang 2011-04-17  

ASDFASDFASD

47 楼 xudongwang 2011-04-17  

adasdfasda

46 楼 凤凰山 2011-04-17  

让暴风雨来得更猛烈些吧。。。。。。。

45 楼 relic6 2011-04-17  

对权限的了解还不是很深，有时间研究实现下。。

44 楼 windlike 2011-04-16  

毕业论文,学生拿来骗老师的

43 楼 xhalg 2011-04-16  

只能说很无语的，权限控制最好简单实用

42 楼 hyhai7 2011-04-16  

我怎么看着迷糊啊？这和Linux的权限控制基本一样啊？？ LZ用过这种模式吗？

41 楼 wmdonald 2011-04-16  

我菜鸟，是有点不太明白，呵呵

40 楼 lkj107 2011-04-16  

没看懂，感觉不好维护

什么需求需要这么复杂的权限控制啊

39 楼 Eric.D.Chen 2011-04-15  

专业？权限？自作聪明！

38 楼 mtnt2008 2011-04-15  

tedeyang 写道

还需要长篇大论写这么多？
man chmod就知道了。
这种方式看起来巧妙，其实不好维护。

+1

37 楼 grandboy 2011-04-15  

如果只是CRUD的话，还不如使用RESTful的思路来控制权限，还是很方便的。

36 楼 qmqpfi 2011-04-15  

不好控制，而且对于大数据时就没法了。

35 楼 aoliwen521 2011-04-15  

在java中使用long，就64个权限了。

34 楼 liuningbo 2011-04-15  

和反射中获取修饰词一样！晕···抄来的

33 楼 jlcon 2011-04-15  

太麻烦了！！！

32 楼 hyiner 2011-04-15  

这个贴也可以上首页？编辑的口味太重了 

31 楼 love_reboot 2011-04-14  

怎么感觉这跟spring security那么雷同呢

30 楼 yangxinxyx 2011-04-14  

这是个老贴了，很久以前就看过,这只是一种思路的泛型，实际中很少这样用吧，真正用起来，业务变更往往很头痛

29 楼 hyj0903 2011-04-14  

obullxl 写道

再一次被标题忽悠~~~~~

这让我想起小时候听到“狼来了”这个故事！