在典型的范围控制系统中,我们会包含组织机构的管理和系统访问控制2个部分,并通过雇员和用户关联起来。我们仔细考察这个系统的时候,可以发现一些有趣的现象:
1:访问控制是相对虚拟的,而组织机构管理相对物理的;
2:访问控制本身的独立性很强,其实现上复杂而且选择众多,如可继承的角色实现;
3:组织机构管理的物理性强,并且是高重用性的,如ERP或者HR系统对其扩展和重用;
4:通常,我们在进行访问控制的时候,组织机构管理可以不理会的(一种选择是权限的管理和组织机构的概念集合起来如对某个部门的赋权,但这似乎不是一个好的选择,主要是增加了不必要的复杂度:一个系统的结构清晰、功能完善但也是单一的是必要的)。
一个设计良好的权限系统是应该充分考虑如上因素的(当然,更重要的研究部分是从使用角度出发的,这个议题以及典型访问控制系统的议题在这里不予以探讨)。还有一个重要的因素就是:我们在访问控制上面有经过检验的规范可以参考,而对于组织机构的管理我们没有(或者说我没有看到)。在动物园的猪和七彩狼关于组织机构管理的论述里,我们也看到了一些有意义的研究,但这里也似乎存在一些值得探讨的地方,当然,更重要的,我们在对其实现的时候,对于扩展和重用的考虑将会极大增加系统的复杂度,而在某种程度来看我们对其研究还不够深入并且在使用中暂时是缺席的,因此,尽管组织机构管理和访问控制是关系紧密的,但我们可以暂缓对组织机构管理的实现(当然,在两者的集合方面我们需要认真的考虑接口方法问题)。
我们情愿一个系统是可以扩展的不完整系统,也不愿意实现一个未经认真考虑的系统,关注软件生命周期大于“我们有一个系统”。这是我们如上选择的基本出发点。实际上,这种分离固定、变化,关注变化的实现考虑会越来越重要,也是对一个系统进行分析设计的基本考量之一。