权限系统中的数据权限就该这么设计,yyds!

最新推荐文章于 2024-04-06 18:35:42 发布
最新推荐文章于 2024-04-06 18:35:42 发布
阅读量625 收藏 2
点赞数
文章标签: 中间件 java python 数据库 大数据
原文链接:https://mp.weixin.qq.com/s?__biz=MzUzMTA2NTU2Ng==&mid=2247558925&idx=1&sn=79a2394389f21e2d57216a958926ed1a&chksm=fa4b98bccd3c11aa8a608be9515f22affa2405c73aacf42f055de9d28284c116314c5f658a3f&scene=126&&sessionid=0
版权

点击上方“芋道源码”,选择“设为星标

管她前浪,还是后浪?

能浪的浪,才是好浪!

每天 10:33 更新文章,每天掉亿点点头发...

源码精品专栏

 

来源:JAVA日知录

1598f563449abc930c33cd7ecab3192c.jpeg

在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。

控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。

首先让我们先看下RBAC模型。

RBAC模型

RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。

RBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一组权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色。使用RBAC可以极大地简化权限的管理。

RBAC模型还可以细分为RBAC0,RBAC1,RBAC2,RBAC3。这里我们不讨论他们之间的差异,感兴趣的同学可以自行研究,我们主要聚焦于常见的RBAC0模型上。

如下图就是一个经典RBAC0模型的数据库设计。

ccb5a29c6c22c0df79095e72c2265c0c.png
rbac0模型

在RBAC模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB。这种问题我们称之为“水平权限管理问题”。

基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://gitee.com/zhijiantianya/ruoyi-vue-pro

  • 视频教程:https://doc.iocoder.cn/video/

数据权限

列表数据权限,主要通过数据权限控制行数据,让不同的人有不同的查看数据规则;要实现数据权限,最重要的是需要抽象出数据规则。

数据规则

比如我们系统的商机数据,需要从下面几个维度来控制数据访问权限。

  1. 销售人员只能看自己的数据;

  2. 各大区的销售经理只能看各区域的数据(安徽大区的销售经理看安徽区域的商机数据),同理也适用于某BG分管领导只能看所在BG的商机数据;

  3. 财务人员只能看金额小于一万的数据。

上面的这些维度就是数据规则。

这样数据规则的几个重点要素我们也明晰了,就是规则字段规则表达式规则值 ,上面三个场景对应的规则分别如下:

  1. 规则字段:创建人,规则表达式:= ,规则值:当前登录人

  2. 规则字段:所属大区,规则表达式:= ,规则值:安徽大区

  3. 规则字段:销售金额,规则表达式:< ,规则值:10000

140ddba18bcfc275f0a7d6f562d1cbfc.png
数据规则 
规则字段配置说明: 
条件表达式:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于
规则值:指定值 ( 固定值/系统上下文变量 )

关联资源、用户

光有数据规则是不够的,我们还需要把数据规则跟资源和用户进行绑定。

数据规则与资源的绑定很简单,我们只需要建立一个中间表即可,如下图所示:

e0bda4162a6b60125b9fd4668f88dc29.png
关联资源与用户

这样资源就可以关联上了数据规则。

在应用设计上我们需要一个单独的数据规则管理功能,方便我们录入数据规则,然后在资源管理页面(比如商机列表)上就可以选择内置的数据规则进行资源与规则的绑定。

那么如何让不同的用户拥有不同的数据规则呢?

在RBAC模型中,用户是通过授予不同的角色来进行资源的管理,同理我们可以让角色在授予权限的时候关联上数据规则,这样最终在系统上就体现为不同的用户拥有不同的数据规则。

有点拗口,我们还是按上面的例子来说。

销售人员、大区销售经理、财务人员属于不同的角色,他们都拥有商机列表这个资源权限,但是在给这些角色绑定商机列表资源权限时我们可以勾选对应的数据规则(上面已经实现资源与数据规则的绑定)。体现在数据库设计中我们可以在角色资源对应关系表 Role_Permission中添加一个字段用于存储关联的数据规则,如果有多个数据规则可以使用分隔符分割。

最终RBAC模型演变成如下所示的模型:

f84050188e418a8893b89527b6d0c5b2.png

按照上面的设计我们需要区分各个大区管理的数据权限则需要建立不同的大区角色,如安徽大区销售经理、上海大区销售经理,然后分别给角色勾选对应的数据规则。这里就类似于RBAC1中的角色继承的概念了。

这样我们就基本实现了RBAC与数据规则的绑定,但是我们还有个问题就是如何在系统中落地。

这里我们就要借助大名鼎鼎的AOP来实现了,这篇文章只讲原理不讲实现,所以我们只顺带提一下实现方案。

  1. 自定义一个数据权限的注解,比如叫PermissionData

  2. 在对应的资源请求方法,比如商机列表上添加自定义注解@PermissionData

  3. 利用AOP抓取到用户对应角色的所有数据规则并进行SQL拼接,最终在SQL层面实现数据过滤。

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://gitee.com/zhijiantianya/yudao-cloud

  • 视频教程:https://doc.iocoder.cn/video/

继续优化

在上面的设计中我们通过给不同角色绑定不同数据规则实现了数据权限,但是考虑下面一种场景:某角色需要看到的数据范围为 “所属大区为安徽大区且事业部为消费者事业部的商机数据”,在这种场景里按照我们之前的设计需要建立两个数据规则:

  1. 所属大区 = 安徽大区

  2. 所属事业部 = 消费者事业部

然后再建立2个不同的角色,分别授予不同的数据规则,如果这样的场景比较多的话很容易出现角色爆炸的情况,所有我们这里再抽取出 数据规则组 的概念。

一个数据规则组有多个数据规则,数据规则之间通过 AND 进行连接,放一张应用设计图:

d930b0359afc4d613c4bad7b5c870e0e.png
数据规则

体现在数据库设计中就变成了如下所示:

ac00a9eda60d77f2c3c621af25033c4d.png
模型设计

小结

通过上面8张表的设计我们实现了RBAC模型与数据权限的结合,当然这里还有继续优化的空间。比如这里的规则字段和规则值我们可以抽取出对应的字典表,让数据规则表去关联这些字典字段,这样在应用层配置数据规则的时候就不需要管理员手动填写而是从字典项中去选择了,减少了数据规则配置出错的概率。

欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢

1a115acab5d81aa478fd0542ac4ce6ce.png

已在知识星球更新源码解析如下:

95efe92888285d8fc7ea02003c8abfac.jpeg

374aaf911c8fa2c845f03858818bc8fc.jpeg

ffa216204fc7d941de638fa43af8f51c.jpeg

ab5ff849b1659e345176cc1f270beccb.jpeg

最近更新《芋道 SpringBoot 2.X 入门》系列,已经 101 余篇,覆盖了 MyBatis、Redis、MongoDB、ES、分库分表、读写分离、SpringMVC、Webflux、权限、WebSocket、Dubbo、RabbitMQ、RocketMQ、Kafka、性能测试等等内容。

提供近 3W 行代码的 SpringBoot 示例,以及超 4W 行代码的电商微服务项目。

获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。

文章有帮助的话,在看,转发吧。
谢谢支持哟 (*^__^*)
公众号-芋道源码
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RuoYi-Cloud:(RuoYi)官方仓库 基于Spring Boot、Spring Cloud & Alibaba的分布式微服务架构权限管理系统
04-10
平台简介 若依是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。 采用前后端分离的模式,微服务版本前端(基于 )。 后端采用Spring Boot、Spring Cloud & Alibaba。 注册心、配置心选型Nacos,权限认证使用Redis。 流量控制框架选型Sentinel,分布式事务选型Seata。 如需不分离应用,请移步 ,如需分离应用,请移步 阿里云折扣场:,腾讯云秒杀场:   阿里云优惠券:,腾讯云优惠券:   友情链接 Ant Design版本。 系统模块 com.ruoyi ├── ruoyi-ui // 前端框架 [80] ├── ruoyi-gateway // 网关模块 [8080] ├── ruoyi-auth // 认证心 [9200] ├── ruoyi-api
yyds
03-13
JD库 如果您是第一次安装,请等待1-2分钟后执行:docker exec -it jd bash git_pull,如你是分开的,请更换网络模式添加--network host,食用方法。!↓: docker run -dit \ -v /安装目录/jd/config:/jd/config \ -v /安装目录/jd/log:/jd/log \ -p 5678:5678 \ -e ENABLE_HANGUP=true \ -e ENABLE_WEB_PANEL=true \ --name jd \ --hostname jd \ --restart always \ redmancy/yyds 如果映射脚本出来直接在上面加一行: -v /安装目录/jd/scripts:/jd/scripts \ 节点基础 redmancy/yyd
(转)系统权限大致分类
weixin_30631587的博客
08-09 595
在实现过程对可能存在的权限需求进行了分类,也希望提提意见。一是系统权限,主要是对模块为单位的权限划分,具体就是用户对该模块可见不可见,能不能对该模块进行再授权的操作。表现在用户界面就是用户登录系统主页面后,可以看到的顶部菜单和左侧outlookbar菜单的内容控制。它是粒度最大的权限控制。二是模块操作权限,在对整个模块的权限做出控制后,这里继续对模块的浏览、增加,修改,删除的操...
负采样,yyds! .pdf
08-12
负采样,yyds! .pdf
芋道框架的权限控制机制
最新发布
cluniquecui的专栏
04-06 344
,注解@PreAuthorize("@ss.hasPermission('system:post:query')"),表明了,要想调用本方法,需要当前用户具有'system:post:query'权限。那么,@PreAuthorize("@ss.hasPermission('system:post:query')")这段代码是如何被执行的呢?可以看到,其有一个方法hasPermission,正是上文提到的注解的方法。该方法的操作就很明显了,就是通过查询数据库,来判断当前的用户是否拥有对应的权限
负采样,yyds! .rar
10-18
负采样,yyds! .rar
芋道管理后台,基于 Vue2 + Element UI 实现,支持 RBAC 动态权限数据权限、SaaS 多租户
04-03
芋道管理后台,基于 Vue2 + Element UI 实现,支持 RBAC 动态权限数据权限、SaaS 多租户、Flowable 工作流、三方登录、支付、短信、商城、CRM、ERP 等功能.zip
芋道权限:查询自己及下级的数据
qq_31315703的博客
12-06 1351
权限:查询自己及下级的数据
芋道项目笔记(自用
hazelzhiye的博客
08-15 3715
摘了几个自己认为的重点.jpg
数据权限设计思路_权限设计数据权限
热门推荐
Turn X7
06-22 1万+
任何一个系统,都离不开权限设计 权限设计 = 功能权限 + 数据权限+字段权限 【功能权限】:能做什么的问题。如查询、增删改信息【数据权限】:能看到哪些数据的问题。如查看本人、部门团队、区域或者整个公司、甚至整个系统数据【字段权限】:能看到哪些信息的问题。如联系人姓名,但是不能查看到联系人地址、联系人电话这样的 1.功能权限设计 常常是基于RBAC(Role-Based Access Control)的一套设计方案 2.数据权限设计 2.1数据权限设计分析 ...
数据权限设计与思考
学海无涯,行者无疆
10-06 2631
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限数据权限又可以进一步分为行级权限和列级权限。功能权限,是指系统用户能进行哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表和角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
YydsDevPlugin-1.25.zip Yyds.Auto pycharm开发插件 安卓自动化!
02-21
Yyds.Auto是一个更人性化更具有生产力的自动化软件,不依赖无障碍,内置Python函数实现如点击,滑动,截图,图片识别, busybox等功能, 并且使用为手机端极致优化的高性能神经网络的ncnn作为ai引擎, 内置前沿yolo与...
芋道 spring security oauth2 入门_SpringCloud Alibaba微服务实战十四 - Gateway集成Oauth2.0
weixin_39627699的博客
11-29 739
导读:上篇文章我们已经抽取出了单独的认证服务,本章主要内容是让SpringCloud Gateway 集成Oauth2。概念部分在网关集成Oauth2.0后,我们的流程架构如上。主要逻辑如下:1、客户端应用通过api网关请求认证服务器获取access_token http://localhost:8090/auth-service/oauth/token2、认证服务器返回access_token{...
31.4k!这是我见过最强的后台管理系统 !!
芋艿V
12-29 719
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
大型SaaS系统数据范围权限设计与实现
芋艿V
03-22 272
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
芋道 Spring Boot 安全框架 Spring Security 入门
chen1133的博客
01-14 4949
本文在提供完整代码示例,可见GitHub - YunaiV/SpringBoot-Labs: 一个涵盖六个专栏:Spring Boot 2.X、Spring Cloud、Spring Cloud Alibaba、Dubbo、分布式消息队列、分布式事务的仓库。希望胖友小手一抖,右上角来个 Star,感恩 1024的 对应lab-01-spring-security目录。 原创不易,给点个Star嘿,一起冲鸭! 1. 概述 基本上,在所有的开发的系统,都必须做认证(authenticat...
大型SaaS系统数据范围权限设计与实现!
芋艿V
04-13 506
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
巧用 MyBatis Plus 实现数据权限控制
芋艿V
08-22 365
???? 这是一个或许对你有用的社群???? 一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书学,往事上“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
权限框架springgsecurity
09-01
Spring Security是一个功能强大的权限框架,用于在Java应用程序实现身份验证和访问控制。它提供了一整套认证和授权功能,可以用于保护应用程序的敏感资源和功能。Spring Security可以与Spring框架无缝集成,并提供了多种身份验证机制,如基于表单的身份验证、基于HTTP Basic的身份验证和基于JWT的身份验证。引用 要使用Spring Security,首先需要导入相关的依赖,包括spring-boot-starter-security和jjwt。这些依赖可以通过Maven或Gradle进行管理。引用 Spring Security提供了一套完整的权限管理系统,可以管理菜单、角色、用户、日志等信息。此外,它还提供了代码生成器和定时任务等功能。基于SpringMVC和layui的组合使用,可以快速搭建一个功能完善的权限管理系统。引用<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [springsecurity+jwt实现登录权限认证](https://blog.csdn.net/anan_yyds/article/details/131191221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [layui+java ssh快速开发框架系统源码.zip](https://download.csdn.net/download/qq_41221596/88274773)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值