上页	目录	下页
决策权限授权策略			保护应用安全

以上，我们研究的权限管理，都基于RBAC（Role-Based Access Control，基于角色的访问控制）模型。

下面这张图片来自于ralasafe demo应用。当John Smith登录到员工管理页面的样子：

Company下拉框根据当前用户显示不同的值，所以这也属于权限范畴。

但，如下并不是好的做法：

1. 对于IT管理员：将该下拉框赋给某个角色，然后将角色赋给用户；
2. 或者对于软件开发者：将该下拉框的权限与当前页面权限关联。当某用户具有访问该页面的权限时，自动就被赋予该下拉框权限。

这些建议太复杂了，而且容易让人混淆，模糊不清。

像这样的下拉框，我们将这种权限称为非角色权限，也就是说没有必要进行功能级权限判断。用ralasafe处理它们的数据级权限即可，因此，您可以给它们设置安全策略。和像正常业务权限一样，ralasafe支持非角色查询权限和非角色决策权限两大类。

Ralasafe demo应用，我们给该下拉框授权了一条策略。因此，只要当前登录的人能进入这个页面，该下拉框就显示当前登录人员所在公司名称。

如果您的应用系统已经有了RBAC模型和相关实现，您可以不使用ralasafe的功能级权限控制，只使用它的数据级权限控制。在ralasafe的管理界面里面，您将正常的业务权限做为非角色权限即可。这样，您的系统将负责功能级权限，ralasafe负责数据级权限。

	上页	目录	下页
决策权限授权策略			保护应用安全