网站建设中，会碰到最常用的用户管理及操作权限设置验证，虽然这是很常见的一个管理操作，但要做得完善很不容易。最近参考了许多.NET方面的书，特别关心这方面的，并结合自己特点，摸索了一下适合自己的用户管理方法，完成了基本管理类库。

用户的管理方法，在设计时采取“用户——角色——许可”三级，这是WINDOWS操作系统的用户管理方法。一个用户可以有多个角色，一个角色也可以有多个许可。

所以有数据库设计时分别设计：

用户表：设UserID、用户名、用户信息
角色表：设RoleID、CategoryID、RoleName、Description
用户角色表：UserID、RoleID

分类表：CategoryID、CategoryName、Description
许可表：PermissionID、CategoryID、PermissionName、Description
角色许可表：RoleID、PermissionID

设计好数据库后，即可以从事设计用户、角色、许可的类。类库分数据层类，完成建立、查询、删除、更新等操作。业务层的类，需要实现与数据无关功能，建立如用户拥有角色、许可的列表，验证方式等。

在业务层有一很重要的方法，即是用.NET的验证方式来实现，因此建立二个类：

一是 SiteIdentity 类，它继承自业务层基类，并采用System.Security.Principal.IIdentity接口。该类主要存放用户的基本信息，包括用户名、EMAIL及ID号、密码。它的方法较简单，通过验证后，把用户的基本信息。

二是 HelloseaPrincipal 类，它也继承业务基类，采用System.Security.Principal.IPrincipal接口。该类的主要方法有验证类，并把验证后的用户信息、用户角色列表、许可列表存储到类中。该类中有二个方法和一个Property是IIdentity接口必须的，即IsInRole、HasPermission，和System.Security.Principal.IIdentity Identity。

设计完成类库后，即可以用来验证用户了。比如在管理登录页面中，需要判断用户的密码是否正确，并判断用户是否有许可进入管理页面。

下面是验证中的一段：
            HelloseaPrincipal admin = HelloseaPrincipal.ValidateLogin(txtAdminName.Text, txtPassword.Text);
            if (admin == null)
            {
                labInfo.Text = "没有该管理员帐号，或输入密码不正确。";
            }
            else if ( !admin.HasPermission(1) )
            {
                labInfo.Text = "您并不是管理角色并且没有管理许可，不能进入本系统。";
            }
            else
            {
                Context.User = admin;
                FormsAuthentication.SetAuthCookie(txtAdminName.Text, true);
                Response.Redirect("AdminIndex.aspx");
            }

注：!admin.HasPermission(1)的1是数据库中许可的ID号

在内部页面中可以用：
            HelloseaPrincipal currentPrincipal = (HelloseaPrincipal)Context.User;
            if (!currentPrincipal.HasPermission(1))
            {
            }
这样方法来验证用户，虽然它也是通过Cookie,但.net中的Cookie是加密的，能实现很高的安全性。

这样的设计还有个缺点，即是许可的ID号是固定值。考虑到一般的管理页面需要的许可比较固定，所以采用把许可设置在config文件中。而一些频道等需要经常变化的验证许可放置在数据库的频道表中。下面是我采用的config文件中设置方法实现，不详细介绍如何读取和写入了。从config文件读取和写入可采用XML串行化和反串行化很容易实现，可以用类来封装，并且在使用时非常方便，下面的语句即是通过封装类中读取许可的方法：
if ( !admin.HasPermission(OperatePermissionConfig.GetSettings().ManagerLogin) )
{
}

关于权限和验证，就介绍到这里，只能简单介绍了。因实现的代码非常长，所以这里只是介绍一种思维方式，具体实现每个人都会有自己特点。

嗯，赞一个，规范化的关系数据库设计

我对分类表的功能也有些疑惑，从列说明上来看，似乎是角色表和许可表的外键，这样意义就不太明确了。烦请蓝鲸出来解释一下吧

我觉得这样不太好，如果以后许可和角色的分类要分开，就麻烦了。我宁愿一开始就把两种分类分开。

我以前在做一个 IDC 系统时，相对于你这个来说，增加了一个继承权限功能。我的权限本身就是树状结构的，一个权限可以包含几个权限，每个权限仍然可以包含其他权限。我用这种方式实现了你的Category功能。权限项在默认情况下具有继承上层权限的属性，这样，当权限和角色都很多的时候，可以有效地减少权限定义。

Windows 帐户权限管理本身就是学习的典范，它的“禁止”权限优先级比“许可”高。

我想在有效权限的计算上也是有很多学问的，或许可以引入按位运算来计算最终的有效权限。

“部分许可”是对包含详细权限列表的权限摘要的一种权限描述，实际上没有具体作用

单一许可方式的授权并非行不通，但是在支持继承性权限和默认权限（举个例子某一角色具有对某一父版块的管理权限，那么默认的，该角色拥有所有该板块中所有子板块的管理权限）的大型系统中将变得不够安全和方便。

很好的讨论，听了感觉多了很多思路

许可与角色的设计是与语言无关的，任何语言均可以用。下文中的窗体验证方法只限ASP.NET，ASP没有这种验证方法，但可以用Cookie或Session进行代替使用。