看了一些相关的文章。
   关于用户(User)、角色(Role)、组织(Organization)、权限(Right)在应用系统中有一些自己的想法。
   1、权限只跟角色关联    
      给用户或组织分配权限是不妥当的
   2、应该引用具有明确的应用意义的角色      
      比如采购申请单审批人是“采购部门经理”,而不是“经理”
      (有些应用也可以使用抽象的角色,比如经理都去参加会议)
   3、角色依赖于组织
      RBAC中没有组织的概念,但是在一般的应用系统中,肯定存在组织,
      一般论述组织模型的文章中,也没有提及角色。
      我认为应用系统中角色是依赖于组织的,先有组织后有角色。
      比如只有增加A部门了,才可能有A部门经理这个角色;
      如果撤销A部门,那么A部门经理这个角色就没有意义了。
   4、组织、角色和用户的关系
      组织拥有角色是1:n的关系
      组织和用户是n:n的关系