关系与权限的思考

最近被某系统复杂的账户体系折腾了一阵，让我对“关系与权限”有了进一步的认识：它不仅仅是一种安全的技术措施，也反映出一家企业对其管理模式、经营理念的思考和实践，对我们的集团型信息化产品有一定的启发：

1.与一般的系统不同，这个系统管理的重点不是用户、资源或者角色，而是关系（客户关系，渠道关系，服务关系和层级关系等），基于关系设计的权限体系可以帮助它更好的厘清整个业务范围的利益关系链条，有助于更好做战略规划和开展业务活动。

2.基于关系的权限体系，每个主体因其关系权限被限定在对应的活动空间中并通过特定关系有序进行业务往来，这样能辅助企业更好的开展经营活动，保障关系链条上各个主体的利益，比如正常的依赖性、互斥性、互补性与等级差异性（认证、优选、领先和战略）等关系所带来的对等权力及公平的利益分配，避免出现关系奇异性（自己与自己建立关系，循环依赖关系等）造成权益的混乱。

3.关系权限与角色权限的关联之处在于关系删除了，角色还在，新的关系被建立，权限重新分配到新的关系上，而角色保持不变，其原有的权限也不变，角色一删除则权限全都级联删除，所以关系权限算是以角色权限模型为基础的一种扩展。

4.集团型信息化强调纵向管控和横向协同，各种实体关系参透其中，管控体现了层级和管理关系，协同体现了协作和业务往来关系，抓住和梳理好关系链条也就掌握了系统运作机制，进一步对关系进行监控和可视化，促进管控和协同透明化，是集团型管理软件由信息化到数字化转变的重要组成部分。

5.顺道也梳理和温习一下现有几种主流的“权限”模型：

1）.DAC(Discretionary Access Control)自主访问控制：通过权限控制列表形成的一种用户直接关联对象的访问模式，主要应用于文件系统；

2）.MAC(Mandatory Access Control)强制访问控制：用户与访问对象建立对等一致标识，通过标识一致性进行访问控制，主要应用于机密系统；

3）.RBAC(Role-Based Access Control)基于角色的访问控制：在用户和对象之间引入角色，通过角色关联角色设定权限，可灵活分配权限、变化和扩展：角色和权限继承，静态和动态职责分离（权限互斥控制），主要应用于管理类的系统；

4）.ABAC(Attribute-Based Access Control)基于属性的权限验证：基于一组（四类）属性：用户属性，环境属性，操作属性和对象属性作为条件动态判断访问权限（可以基于规则引擎技术实现，甚至引入“信任度”并采用机器学习实现智能授权和鉴权），主要应用于查询分析（多维分析）类的系统。