【转】关于B/S架构应用程序的权限设置分析和总结

来自：http://www.cnblogs.com/zhouxunyu/p/3790122.html

分析：不同的用户登录到系统后赋予不同的操作权限，而用户存在于数据库中,标识用户权限的字段
也保存在数据库中的用户表中。

问题：这个标识用户权限的字段从数据库中取出如何保存在运行的程序中。

方案一：建立用户类，将从用户表查询出来的信息封装到类里面，用户登录时实例化类获取权限字段。

分析：该解决方案可行，弊端则是：当系统部署发布后同时在线访问用户量很大时，每次实例化的用户类会很多，服务器负荷会很大。

如果这个解决方案应用于C/S架构，我个人认为是最方便也是最好的。

方案二：将从用户表中查询出来的信息，特别是标识用户权限的字段信息保存到Session中。

分析：该解决方案视乎也可行。弊端则是：Session存在着超时机制，一但Session超时这运行会报错。Session超时解决方案：Session.time=12000;或者在配置文件中配置

 <configuration>

 <system.web>

 <sessionState

 mode="InProc"

 cookieless="true"

 timeout="30" />

 </system.web>

 </configuration>

如果要Session永不超时，那么就在页面虚拟一个无内容的Ifram或者按钮等等，定时刷新它，Session就永远不会超时。但建议最好不要那样，抓取超时，让用户重新登录最好。

方案三：将从用户表中查询出来的信息，特别是标识用户权限的字段信息保存到Cookie中。

分析：该解决方案似乎也可行。弊端则是：Cookie也存在着过时机制，同时如果同一台计算机登录多个用户是就会存在着Cookie冲突。

解决Cookie冲突问题：利用键值对，将ID作为键，在数据库中ID永远是唯一的，这样就很轻松的解决了Cookie冲突问题，但在权限设置中最好不用Cookie，Cookie存在着风险，对整个应用程序来说不安全。如果用户更改了本地的Cookie值那么权限就对应着发生变化了，建议不用。