RBAC模型整合数据权限
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。
控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。
首先让我们先看下RBAC模型。
RBAC模型
RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。
RBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一组权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色。使用RBAC可以极大地简化权限的管理。
RBAC模型还可以细分为RBAC0,RBAC1,RBAC2,RBAC3。这里我们不讨论他们之间的差异,感兴趣的同学可以自行研究,我们主要聚焦于常见的RBAC0模型上。
如下图就是一个经典RBAC0模型的数据库设计。
在RBAC模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB。这种问题我们称之为“水平权限管理问题”。
数据权限
列表数据权限,主要通过数据权限控制行数据,让不同的人有不同的查看数据规则;要实现数据权限,最重要的是需要抽象出数据规则。
数据规则
比如我们系统的商机数据,需要从下面几个维度来控制数据访问权限。
销售人员只能看自己的数据;
各大区的销售经理只能看各区域的数据(安徽大区的销售经理看安徽区域的商机数据),同理也适用于某BG分管领导只能看所在BG的商机数据;
财务人员只能看金额小于一万的数据。
上面的这些维度就是数据规则。
这样数据规则的几个重点要素我们也明晰了,就是规则字段,规则表达式,规则值,上面三个场景对应的规则分别如下:
规则字段:创建人,规则表达式:= ,规则值:当前登录人
规则字段:所属大区,规则表达式:= ,规则值:安徽大区
规则字段:销售金额,规则表达式:< ,规则值:10000
规则字段配置说明:
条件表达式:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于
规则值:指定值 ( 固定值/系统上下文变量 )
关联资源、用户
光有数据规则是不够的,我们还需要把数据规则跟资源和用户进行绑定。
数据规则与资源的绑定很简单,我们只需要建立一个中间表即可,如下图所示:
这样资源就可以关联上了数据规则。
在应用设计上我们需要一个单独的数据规则管理功能,方便我们录入数据规则,然后在资源管理页面(比如商机列表)上就可以选择内置的数据规则进行资源与规则的绑定。
「那么如何让不同的用户拥有不同的数据规则呢?」
在RBAC模型中,用户是通过授予不同的角色来进行资源的管理,同理我们可以让角色在授予权限的时候关联上数据规则,这样最终在系统上就体现为不同的用户拥有不同的数据规则。
有点拗口,我们还是按上面的例子来说。
销售人员、大区销售经理、财务人员属于不同的角色,他们都拥有商机列表这个资源权限,但是在给这些角色绑定商机列表资源权限时我们可以勾选对应的数据规则(上面已经实现资源与数据规则的绑定)。体现在数据库设计中我们可以在角色资源对应关系表 Role_Permission
中添加一个字段用于存储关联的数据规则,如果有多个数据规则可以使用分隔符分割。
最终RBAC模型演变成如下所示的模型:
按照上面的设计我们需要区分各个大区管理的数据权限则需要建立不同的大区角色,如安徽大区销售经理、上海大区销售经理,然后分别给角色勾选对应的数据规则。这里就类似于RBAC1中的角色继承的概念了。
这样我们就基本实现了RBAC与数据规则的绑定,但是我们还有个问题就是如何在系统中落地。
这里我们就要借助大名鼎鼎的AOP来实现了,这篇文章只讲原理不讲实现,所以我们只顺带提一下实现方案。
自定义一个数据权限的注解,比如叫
PermissionData
在对应的资源请求方法,比如商机列表上添加自定义注解
@PermissionData
利用AOP抓取到用户对应角色的所有数据规则并进行SQL拼接,最终在SQL层面实现数据过滤。
继续优化
在上面的设计中我们通过给不同角色绑定不同数据规则实现了数据权限,但是考虑下面一种场景:某角色需要看到的数据范围为 “所属大区为安徽大区且事业部为消费者事业部的商机数据”,在这种场景里按照我们之前的设计需要建立两个数据规则:
所属大区 = 安徽大区
所属事业部 = 消费者事业部
然后再建立2个不同的角色,分别授予不同的数据规则,如果这样的场景比较多的话很容易出现角色爆炸的情况,所有我们这里再抽取出 数据规则组 的概念。
一个数据规则组有多个数据规则,数据规则之间通过 AND 进行连接,放一张应用设计图:
体现在数据库设计中就变成了如下所示:
小结
通过上面8张表的设计我们实现了RBAC模型与数据权限的结合,当然这里还有继续优化的空间。比如这里的规则字段和规则值我们可以抽取出对应的字典表,让数据规则表去关联这些字典字段,这样在应用层配置数据规则的时候就不需要管理员手动填写而是从字典项中去选择了,减少了数据规则配置出错的概率。
数据权限是一个实现相对比较复杂的功能,这里我们选择的是在RBAC模型基础上进行扩展,如果你有更好的解决方案欢迎留言告诉我。
End
RBAC模型整合数据权限相关推荐
- RBAC权限模型及数据权限扩展的实践
原文:RBAC权限模型及数据权限扩展的实践 话说大家对RBAC权限模型应该是耳熟能详了.但真正用的好的并不多.并且原始的RBAC模型并不包括数据权限的管理,网上也差点儿没有相关的文章可以參考.本人经过 ...
- 基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
1 RBAC模型 访问控制是针对越权使用资源的防御措施.基本目标是为了限制访问主体(用户.进程.服务等)对访问客体(文件.系统等)的访问权限,从而使计算机系统在合法范围内使用:决定用户能 ...
- mybatis整合数据权限
现在很多企业级应用都需要拦截数据权限, 只有配置了相应数据权限的人才能看到该数据 关于数据权限的实现, 个人想了两种实现方式 第一种是基于AOP, 配置相应的注解, 在切面中将数据权限的参数值强制设置 ...
- 数据权限这样设计,领导直呼666!
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据. 控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们 ...
- 权限系统中的数据权限就该这么设计,yyds!
点击上方"芋道源码",选择"设为星标" 管她前浪,还是后浪? 能浪的浪,才是好浪! 每天 10:33 更新文章,每天掉亿点点头发... 源码精品专栏 原创 | ...
- 权限系统中的数据权限就该这么设计,yyds
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据. 控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们 ...
- 权限系统设计方案 RBAC模型
文章目录 1.权限模型 1.1 权限设计 1.2 为什么需要角色 1.3 权限模型的演进 1.3.1 RBAC模型 1.3.2 角色继承的RBAC模型 1.3.3 带约束的RBAC模型 1.4 用户划 ...
- 参数化的RBAC模型
1 动机 基于角色的访问控制(RBAC)模型被普遍认为是一种有效的访问控制模型,它比传统的自主访问控制(DAC)和强制访问控制(MAC)具有更高的灵活性和更好的扩展性. 在实际应用中,随着企业规模以及 ...
- RBAC模型概述以及功能权限数据权限设计思路
RBAC模型概述 1. 什么是RBAC RBAC模型:Role-Based Access Control 基于角色得访问控制 通俗说,就是,权限不会直接分配到用户,而是分配到用户所拥有得角色 这样的好 ...
- 权限系统与RBAC模型
目录 一.权限系统与 RBAC 模型概述 二.RBAC 模型简述 2.1 RBAC0 2.2 RBAC1 2.3 RBAC2 2.4 RBAC3 2.5 RBAC 的优缺点 三.实用的 RBAC 模型 ...
最新文章
- Microsoft Hyper-V Server 2008 R2和SCVMM2012部署XenDesktop 5.6桌面虚拟化系列之三准备XenDesktop服务器...
- Matlab学习笔记——find()函数
- Unity 2D游戏开发教程之使用脚本实现游戏逻辑
- 腾讯高性能图计算框架Plato及其算法应用
- 观物外篇-唐-邵雍:(一)
- 【C语言基础】C语言异常捕获机制 - assert
- security框架工作笔记001--- Shiro和Spring Security对比_智慧城市项目中选型用Spring Security
- Python 标准库 —— xml
- 马踏棋盘(骑士周游问题)
- Tomcat 中文乱码
- CF1292C Xenon‘s Attack on the Gangs
- 七大步教你征服丈母娘
- stm32 串口2空闲中断死机_STM32串口空闲中断问题
- Windows中Perl命令的安装
- 你好,法语!A1课文背诵汇总
- MySQL_Windows 下重启MySQL服务
- 基于微信小程序的电影院购票平台
- 2020年腾讯,阿里,美团等Android高频面试题及答案,2021Android者未来的出路在哪里
- 白话中台战略2:中台到底长啥样?
- ubuntu-sudo命令