【权限控制】一个通用的用户权限控制架构设计方案,可以适用于大多数应用场景

已于 2024-09-23 11:27:37 修改
阅读量2.6k 收藏 12
点赞数 18
分类专栏: 架构设计 文章标签: 数据库架构 后端
于 2024-09-23 11:17:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h1773655323/article/details/142453775
版权

在设计用户权限控制的架构时,需要考虑系统的安全性、可扩展性、灵活性以及易维护性。以下是一个通用的用户权限控制架构设计方案,可以适用于大多数应用场景:

1. 架构概览

用户权限控制通常分为三个核心部分:用户管理(User Management)角色管理(Role Management)权限管理(Permission Management)。通过这三个部分的组合,实现对不同用户的权限控制。

2. 角色模型设计

2.1 用户(User)

每个用户都是系统中的一个实体,用户模型包含如下信息:

  • 用户ID(UserID):唯一标识用户的ID。
  • 用户名(Username):用户的登录名。
  • 密码(Password):用户的加密密码。
  • 邮箱(Email):用户的联系邮箱。
  • 状态(Status):用户是否激活、锁定、禁用等状态。
  • 角色列表(Roles):用户所拥有的角色集合。
2.2 角色(Role)

角色是权限的载体,将权限赋予角色,再将角色分配给用户。

  • 角色ID(RoleID):唯一标识角色的ID。
  • 角色名称(RoleName):描述角色的名称,如管理员、编辑者、查看者等。
  • 角色描述(Description):对角色的功能描述。
  • 权限列表(Permissions):角色所拥有的权限集合。
2.3 权限(Permission)

权限是系统中可以被控制的操作或资源。

  • 权限ID(PermissionID):唯一标识权限的ID。
  • 权限名称(PermissionName):权限的具体操作,如read_userwrite_article等。
  • 权限描述(Description):对权限的功能描述。

3. 权限控制策略

3.1 RBAC模型(Role-Based Access Control)

RBAC是一种基于角色的权限控制模型,通过角色与用户和权限的关联来管理权限,适用于大多数应用场景。

  • 用户-角色映射(User-Role Mapping):将用户与角色进行关联,一个用户可以拥有多个角色。
  • 角色-权限映射(Role-Permission Mapping):将角色与权限进行关联,一个角色可以拥有多个权限。
  • 权限检查(Permission Check):在用户请求资源或操作时,系统会验证用户的角色是否拥有该操作的权限。
3.2 ACL模型(Access Control List)

ACL是一种访问控制列表模型,更加细粒度的控制用户对具体资源的操作权限。通常在有复杂权限需求时使用。

  • 用户-资源-权限映射(User-Resource-Permission Mapping):将用户、资源和权限三者进行关联。

4. 数据库设计

基于RBAC模型的数据库表设计:

  1. 用户表(User Table)

    CREATE TABLE User (
    UserID INT PRIMARY KEY AUTO_INCREMENT,
    Username VARCHAR(50) NOT NULL,
    Password VARCHAR(255) NOT NULL,
    Email VARCHAR(100) UNIQUE,
    Status ENUM('Active', 'Inactive', 'Locked') DEFAULT 'Active'
);

  2. 角色表(Role Table)

    CREATE TABLE Role (
    RoleID INT PRIMARY KEY AUTO_INCREMENT,
    RoleName VARCHAR(50) NOT NULL UNIQUE,
    Description VARCHAR(255)
);

  3. 权限表(Permission Table)

    CREATE TABLE Permission (
    PermissionID INT PRIMARY KEY AUTO_INCREMENT,
    PermissionName VARCHAR(50) NOT NULL UNIQUE,
    Description VARCHAR(255)
);

  4. 用户角色关联表(User_Role Table)

    CREATE TABLE User_Role (
    UserID INT,
    RoleID INT,
    FOREIGN KEY (UserID) REFERENCES User(UserID),
    FOREIGN KEY (RoleID) REFERENCES Role(RoleID),
    PRIMARY KEY (UserID, RoleID)
);

  5. 角色权限关联表(Role_Permission Table)

    CREATE TABLE Role_Permission (
    RoleID INT,
    PermissionID INT,
    FOREIGN KEY (RoleID) REFERENCES Role(RoleID),
    FOREIGN KEY (PermissionID) REFERENCES Permission(PermissionID),
    PRIMARY KEY (RoleID, PermissionID)
);

5. API接口设计

5.1 用户管理接口
  • 注册用户POST /api/users/register
  • 更新用户信息PUT /api/users/{id}
  • 删除用户DELETE /api/users/{id}
5.2 角色管理接口
  • 创建角色POST /api/roles
  • 更新角色信息PUT /api/roles/{id}
  • 删除角色DELETE /api/roles/{id}
5.3 权限管理接口
  • 创建权限POST /api/permissions
  • 更新权限信息PUT /api/permissions/{id}
  • 删除权限DELETE /api/permissions/{id}
5.4 权限分配接口
  • 分配角色给用户POST /api/users/{id}/roles
  • 分配权限给角色POST /api/roles/{id}/permissions

6. 权限控制流程

  1. 用户登录:用户提交用户名和密码,系统验证身份,生成并返回JWT令牌。
  2. 权限验证:每次用户请求受保护的资源时,系统从JWT令牌中解析用户信息和角色,并根据用户角色检查是否有该操作的权限。
  3. 拒绝访问:如果用户没有权限,则返回403 Forbidden错误。

7. 扩展性考虑

  1. 多级角色继承:支持角色之间的继承关系,使得角色的管理更加灵活。
  2. 动态权限管理:支持在运行时动态添加、删除和修改角色和权限,不需要重启系统。
  3. 缓存机制:对于频繁访问的权限数据,使用缓存机制提高性能。

8. 安全性考虑

  1. 密码加密存储:使用安全算法(如bcrypt)对用户密码进行加密存储。
  2. JWT安全传输:JWT令牌要使用安全的签名和加密方式,确保数据不被篡改。
  3. 操作日志记录:记录所有权限变更和重要操作,方便审计和追踪。

该架构方案适用于中大型系统,可以在不同业务场景下灵活调整。

代码实现可见

【FasAPI】使用FastAPI来实现一个基于RBAC(基于角色的访问控制)的用户权限控制系统

Java架构师缓存通用设计方案
赵广陆
10-11 1341
目录 1 采用多级缓存 2 缓存数据尽量前移 3 静态化 4 数据平衡策略 5 jvm缓存的问题 6 redis存放数据解决 7 redis垂直拆分 8 总结 在实际应用中需要考虑的实际问题。首先,前端页面可以做缓存,虽然图上没有显示,但在现实应用中这是提高性能的一个重要方面。前端页面缓存可以将静态内容或重复的HTML响应保存在缓存中,减少对后端服务器的请求次数,从而提高性能。
通用的权限管理系统的设计
lx1215的专栏
06-24 637
四海同志的文章中有这样一句话:“传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能"。似乎他的那个权限设计也没有能够解决资源重用的问题。当然,如果它把资源文件分别存放在不通的文件夹中,通过url来根据权限来判断那就另当别论了。我这个人比较懒,总是想用一个通用的方法,放在哪里都合适,因此在数据库的设计上费
用户权限系统设计方案
热门推荐
10-23 3万+
用户权限系统设计方案钟峰·2004年10月[版本:1.0.0] 摘要  本文介绍一个应用于企业应用通用用户权限系统的设计框架,其设计思想与主要文档来源自 SunWu Software Studio 的 iSecurityManager® 产品。本指南适用于体系结构设计人员和开发人员。目录简介 用户与角色 动作定义 应用模块 授权 总结
实现业务系统中的用户权限管理--设计篇(转自http://www.noahweb.net/mail/2/Project.htm)
NiuNIu's sPAcE
11-22 1万+
  B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权
四种方案讲清楚,数据权限该如何设计?
最新发布
tangjieqing的博客
03-26 1194
在数字化系统的权限管理演进中,我们探讨了四种典型的数据权限控制方案,第一种基于角色-菜单绑定的方案虽然实现了精确控制,却面临角色爆炸的困境;第三种的混合方案也会面临权限放大的问题,我们采用的第四种通过菜单绑定控权维度和角色实例化设计,既解决了角色数量膨胀问题,又实现了数据权限的精准控制。第二种方案采用用户-角色-数据范围绑定的权限管理模式,虽然解决了角色数量膨胀的问题,却带来了新的局限性。这种设计能够实现精确到菜单级别的权限管理,每个菜单都可以灵活配置不同的权限维度,具有较好的通用性。
可能是史上最全的权限系统设计
alex4837的博客
07-12 5657
权限系统设计 前言 权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。 目前在公司负责权限这块,所以对权限这块的设计比较熟悉,公司采用微服务架构,权限系统自然就独立出来了,其他业务系统包括商品中心,订单中心,用户中心,仓库系统,小程序,多个APP等十几个系统和终...
后端修改数据库_前、后端分离权限控制设计和实现思路
weixin_39713814的博客
11-22 1135
作者:薛定谔的猫www.yuque.com/zhanghaofei/blog/xrpz9p简述近几年随着react、angular、vue等前端框架兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。网上很多前、后端分离权限仅仅都仅仅在描述前端权限控制、且是较简单、固定的角色场景,满足不了我们用户、角色都是动态的场景。且仅仅前端进行权限控制并不是真正意义的权限控制,它只是减少页面...
通用权限架构设计
weixin_30571465的博客
11-12 264
权限架构设计 一、设计说明 由于现在系统的设计具有很多不可知的因素,可能存在未来的扩展,故此,在设计本权限架构时,尽可能的顾及到了未来的系统扩充和可操作性、可维护性。把此权限架构作为一个独立的模块进行开发,方便未来的其他系统应用。 设计说明: 本架构采用树型权限模型处理,所有节点,都可以作为权限的实体存在。 如: |--权限A |---...
用户权限管理系统:基于B/S架构的应用设计与功能需求分析
03-16
内容概要:本文件详细介绍了一款通用用户权限管理系统的需求规格和设计方案。其主要目标在于构建一套可复用的权限管理体系,以提高权限管控效率,并为应用系统的各种资源提供精准权限控制。具体来说,涵盖了系统架构...
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——用户、组织和用户组)
晓风残月淡的博客
07-19 1772
RBAC模型是将客体的存取访问的权限在可靠的控制下连带角色所需要的操作一起提供给那些角色所代表的用户,通过授权的管理机制,可以授予一个角色多个权限,而一个权限也可以赋予多个角色,同时一个用户可以扮演多个角色,一个角色又可以接纳多个用户
Java Web通用用户权限管理框架设计与实现.pdf
04-05
总的来说,本文介绍的Java Web通用用户权限管理框架充分利用了RBAC模型的优势,为开发者提供了一个高效、安全的权限管理解决方案。该框架的设计思路和实现方法对于理解和构建类似的系统具有重要的参考价值。通过实际...
【PHP】Laravel5.1基于Entrust扩展包实现通用的RBAC权限控制模块_02.zip
01-18
它允许开发者通过角色来控制用户对应用不同部分的访问权限,从而可以更加灵活和强大地管理权限。使用Entrust可以大大简化权限控制逻辑,使得代码更加清晰、易于维护。 该压缩包文件名为“laravel-rbac-master”,...
用户权限设计方案
05-28
为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,提供的一种设计方案
用户权限控制
03-16
NULL 博文链接:https://finally-m.iteye.com/blog/382524
一种基于主客体模型的权限管理框架
TINY框架
06-09 246
用户权限体系,在大多数的应用系统中都是需要的。而用户权限体系在不同的应用场景,其适应要求也都有不同。因此,要做一个普适性较好的权限管理系统是非常困难的。为此,本文提出一种新的权限管理及分配模型,即兼顾通用性,又兼顾应用的个性化。 1.基本概念的抽象 在权限框架中,有用户、角色、组织机构、部门、岗位、菜单、操作、功能等等,甚至组织机构还要分成几个维护,有行政维护、账务维度等等,把这么复杂的模...
权限系统就该这么设计(万能通用),稳的一批!
emprere的博客
01-13 756
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!一个系统,如果没有安全控制,是十分危险的,一般安全控制包括身份认证和权限管理。用户访问时,首先需要查看此用户是否是合法用户,然后检查此用户可以对那些资源进行何种操作,最终做到安全访问。...
权限控制方案之——集成shiro
任长江
03-29 1415
概述:          上一篇文章中我们介绍的权限控制方案的实现方式是通过URL拦截实现的,这里介绍通过shiro实现权限控制。shiro是apache下的开源的权限管理框架。 Shiro架构:                   Subject:主体,是用户和程序的统一抽象。          SecurityManager:安全管理器,认证和授权的核心处理类。       
RBAC权限系统分析、设计与实现
╱/.独﹄無㈡oоΟ的博客
02-14 1117
目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这些文章也主要是介绍基于RBAC的权限管理系统,这篇文章从RBAC是什么、如何设计RBAC两部分来介绍。 我所负责的项目涉及到角色权限的问题全部是通过RBAC来实现的,以前只是出于熟练使用的层面,现在学习一下RBAC更深层次的理论知识。 一、RBAC是什么 1、RBAC模型概述 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为.
Shiro 架构
mengxianglong123的博客
10-17 316
架构图: 1.1 Subject Subject即主体,外部应用与subject进行交互,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义了很多认证授相关的方法,外部程序通过subject进行认证授,而subject是通过Secu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

写bug如流水

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值