【REST2SQL】14 基于角色的数据权限设计与实现

原创 已于 2024-05-15 14:47:29 修改
· 1k 阅读 · 20 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#json2web

于 2024-05-15 14:40:02 首次发布

【REST2SQL】01RDB关系型数据库REST初设计
【REST2SQL】02 GO连接Oracle数据库
【REST2SQL】03 GO读取JSON文件
【REST2SQL】04 REST2SQL第一版Oracle版实现
【REST2SQL】05 GO 操作 达梦 数据库
【REST2SQL】06 GO 跨包接口重构代码
【REST2SQL】07 GO 操作 Mysql 数据库
【REST2SQL】08 日志重构增加输出到文件log.txt
【REST2SQL】09 给Go的可执行文件exe加图标和版本信息等
【REST2SQL】10 REST2SQL操作指南
【REST2SQL】11 基于jwt-go生成token与验证
【REST2SQL】12 REST2SQL增加Token生成和验证
【REST2SQL】13 用户角色功能权限设计

0 前言废话

0.1 常见的权限管理模型

  • ACL ACL的全称是 Access Control List (访问控制列表)
    ACL 是最简单的权限管理模型之一。它基于对象与主体之间的关系来控制访问权限。ACL 将权限直接与用户或用户组相关联,管理员直接给用户授予某些权限即可。
    这种模型适用于小型和简单系统,其中权限控制较为简单,并且角色和权限的变化较少。

  • RBAC(Role-Based Access Control,基于角色的访问控制)
    RBAC 是应用最广泛的权限管理模型之一。它通过定义角色和角色的权限集合来管理访问控制。用户被分配到角色,角色与权限相关联,从而精确地控制用户对系统资源的访问。
    RBAC 适用于大型系统,特别是那些需要灵活、可扩展的权限管理的场景。使用 RBAC 可以简化权限管理的复杂性并提高系统的安全性。
    RBAC权限管理的模式,最适合公司内部的管理系统,不适合对外互联网用户的系统。

  • ABAC(Attribute-Based Access Control,基于属性的访问控制)
    ABAC(Attribute-Based Access Control,基于属性的访问控制),又称为PBAC(Policy-Based Access Control,基于策略的访问控制),或CBAC(Claims-Based Access Control,基于声明的访问控制)。ABAC 是一种基于属性的权限管理模型,它根据多个属性(如用户属性、环境条件、时间等)来进行访问控制决策。ABAC 通过定义策略来决定用户是否有权访问特定的资源。
    这种模型适合于需要更细粒度、动态和灵活的访问控制的场景。ABAC 在复杂的环境中可以提供高度的可配置性和可扩展性。

0.2 数据权限分级

  • 系统级
  • 对象级,表或视图
  • 行级,表或视图的行
  • -列级,表或视图的具体字段

1 数据权限设计

权限管理的核心是角色,角色上接用户,下接功能,功能关联数据。
权限管理的5大实体 : 用户-角色=页面#数据,角色-数据对象关系
实体之间的关系:用户1对多角色,角色1对多页面,页面1对多数据,角色1对多数据。
实体及关系图如下:
在这里插入图片描述
此数据权限设计兼顾了灵活与通用。

  • 支持一个用户多角色,多角色都关联同一数据对象时,用户的数据权限是多个角色数据权限的并集。比如一个用户 user1 分配了2个角色 role1 和 role2,则user1 可以查阅 role1 和 role2 所有数据。
  • 根据角色的功能权限自动获取相关数据对象(视图或表),并在角色上定义数据权限约束 Where条件。

1.1 权限实体(表)设计

  • 用户表 s_user (p_id, s_name, s_passw…)
  • 角色表 s_role (p_id, s_name…)
  • 页面表 s_menu(p_id, s_name,s_page…)
  • 数据(对象)视图 user_tabs_views
  • 角色-数据权限表s_role_data(pf_role,pf_data,s_where)
    数据对象包括表和视图。
-- Oracle 数据库的表和视图
CREATE OR REPLACE VIEW USER_TABS_VIEWS AS
SELECT TABLE_NAME,TABLE_TYPE,COMMENTS,tab_cnt(table_name) as rowcount
FROM user_tab_comments
order by table_type,table_name;
comment on table USER_TABS_VIEWS is '用户表及视图';

1.2 权限关系(表)设计

  • 用户角色关系表 s_user_role (pf_user,pf_role…)
  • 角色功能权限关系表 s_role_menu (pf_role,pf_menu…)
  • 页面数据对象关系表 s_menu_data (pf_menu,pf_data…)
  • 角色数据对象权限关系表 s_role_data (PF_ROLE,PF_DATA,s_where,s_note…)
    角色项下所有功能页面关联的数据对象的集合(页面和数据是多对多的关系,此集合不去除了重复的数据对象)

1.3 角色数据权限视图设计

其它视图参阅 【REST2SQL】13 用户角色功能权限设计

  • 角色关联的数据对象视图,就是角色功能权限用到的数据对象。
	create or replace view role_data_v as
	select distinct m.pf_role, d.pf_data
	from S_MENU_DATA d
	left join s_role_menu m on m.pf_menu = d.pf_menu
	where m.pf_role is not null;
	comment on table ROLE_DATA_V is '角色关联的数据对象视图';
  • 角色数据权限重置连接表,就是角色功能权限或功能数据对象发生变化时,角色当前数据权限和应该拥有的数据权限对照视图
create or replace view role_data_join_v as
select "CROLE","CDATA","HROLE","HDATA"
from ( select pf_role as crole, pf_data as cdata from S_ROLE_DATA  ) c
full outer join (select pf_role as hrole
最低0.47元/天 解锁文章
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1977
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
数据库权限设计实现
10-19
数据库的权限设计实现 数据库的权限设计实现
数据权限设计实现
12-08 1万+
最近手上的web项目需要做权限控制,努力了解下,做如下笔记 1.权限分为菜单权限,操作权限数据权限, 菜单权限即不同用户能够看到的菜单按钮不同,如系统管理员能看到系统管理,用户管理等菜单,而普通用户是看不到这些管理菜单的。 操作权限即为不同用户能够对列表进行的操作权限,即增删改查等功能。 数据权限即不同用户能够看到的列表数据不同,如开发部员工只能看到开发部的所有日志列表,而总经理能够看到
基于角色&个人的数据权限控制
最新发布
Bland New 的博客
04-11 342
权限管理是现代系统中非常重要的功能,尤其是对于复杂的B端系统或需要灵活权限控制的场景。
数据级权限设计实现
成锰的博客
03-08 1420
123
通用数据级别权限的框架设计实现(5)-总结延伸思考
weixin_34174422的博客
05-19 186
继上篇文章通用数据级别权限的框架设计实现(4)-单条记录的权限控制后,通用数据级别权限的框架设计已经实现,但我们就这样满足了吗? 代码也只是花了我两个晚上完成的东西,难道他就百分百可用吗? 答案当然是NO,很多场景及问题我们没有考虑进去。 权限过滤时,我需要多张表做权限过滤,怎么整。 权限过滤时,我需要指...
数据权限设计实现系列1——数据权限设计思考
学海无涯,行者无疆
10-06 6623
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限数据权限又可以进一步分为行级权限和列级权限。功能权限,是指系统用户能进行哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表和角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
REST2SQL】13 用户角色功能权限设计
REST2SQL ,JSON2WEB
03-14 601
用户角色功能权限一般包括功能管理、角色管理、角色功能设置、用户管理、用户角色设置等。
JSON2WEB】 13 基于REST2SQL 和 Amis 的 SQL 查询分析器
REST2SQL ,JSON2WEB
04-10 1212
关于数据的问题没有一句SQL不能解决的,如果有就两句。我设计开发的所有信息系统 内嵌 SQL 查询分析器是标配,可执行CRUD的操作,也就是SQL的Insert、Select、Update、Delete操作。号称SQL的四大基本操作。SQL才是做完美的存在。BS前端就不吐槽了,知识点太多,比上下五千年的历史事件还多,比地球上的乡村还多。
毕业设计:基于SpringBoot+Mybatius的图书管理系统设计实现.zip
12-24
《基于SpringBoot+Mybatis的图书管理系统设计实现》是一个典型的Web应用开发项目,适合用于毕业设计、课程设计以及自我提升。本系统采用SpringBoot框架作为基础,结合Mybatis进行数据访问,构建了一个高效、易维护...
基于角色权限设计 - 数据库
weixin_30486037的博客
07-13 243
最近项目中需要设计一个权限系统,收集了一下资料,权限系统主要有两种技术:ACL(Access Control List)和RBAC(Role-Based Access Control)。前者是将用户直接和权限关联,并通过Group来组织这些用户,windows 系统的用户权限就应该属于这一种(有待确认)。后者通过角色将用户和权限隔离开来,对角色赋予权限,而一个用户就一种角色的一个实例。 A...
权限数据库设计
04-23
通用权限管理mysql数据库设计脚本,包括用户、角色权限以及用户组等
用户角色权限控制数据库
12-11
A . 通过职位 a) 在职位中,职位成员的权限继承当前所在职位的权限,对于下级职位拥有的权限不可继 承。 b) 实例中:如前台这个职位,对于考勤查询有权限,则可以通过对前台这个职位设置考勤 查询的浏览权,使他们有使用这个对象的权限,然后再设置个,考勤查询权(当然也可以不 设置,默认能进此模块的就能查询),则所有前台人员都拥有考勤查询的权利。 B. 通过角色 a) 角色中的成员继承角色权限角色角色没有上下级关系,他们是平行的。通过角色 赋予权限,是指没办法按职位或项目的分类来赋予权限的另一种方式,如:系统管理员,资 料备份员… b) 实例中:对于本系统中,全体人员应该默认都有的模块,如我的邮件,我的文档,我的 日志,我的考勤……,这些模块系统成员都应该有的,我们建立一个角色系统默认角色, 把所有默认访问的模块的浏览权加入到里面去,则系统成员都能访问这些模块。 C. 直接指定 a) 直接指定是通过对某个人具体指定一项权限,使其有使用这个权限的能力。直接指定是 角色指定的一个简化版,为了是在建立像某个项目的组长这种角色时,省略创建角色这一个 步骤,使角色不至于过多。 b) 实例中:指定某个项目的组长,把组长权指定给某个人。
用户角色菜单权限表结构创建以及数据插入
06-12
用户菜单权限表建表语句以及数据插入语句,后台管理系统搭建必备,学习专用。 如果使用外键关联,在对表进行数据操作时就考虑另一张关联的表,相当于两张表就绑在一起了,操作这张表就必须考虑另一张关联表。我们开发时候不想立即就修改或更新关联表的数据,可能一会再去更新另一张关联表的数据,那么就产生了这种方式:通过单独建立一张关联来实现两张表的数据关联。so,在设计表时尽量减少表表直接的外键约束,避免麻烦,表关联关系清晰
OA系统数据库权限设计思路及数据库
05-11
花了一天时间研究一篇网上关于OA系统权限设计的文档,按照文档自己手动创建了数据库,附件包括文档跟数据库,有想要了解的同学可以下载!tb_User:用户信息基本表; tb_Department:部门表; tb_Company:公司表; tb_Module:系统模块表; tb_Action:系统中所有操作的动作表; tb_Permit:由tb_Moduletb_Action两表结合产生的系统基本权限表; tb_Permit_Group:权限组表,将一模块的中的所有权限划分一个权限组中,可以通过权限组授予用户权限; tb_Role:角色表,基本权限的集合。无上级下级之分; tb_Position:职位表,有上级下级之分; tb_Project:项目组表, tb_Role_Permit:角色授权表; tb_Postion_Permit:职位授权表; tb_Project_Permit:项目授权表; tb_Project_User:项目成员表,IsLead字段代表此成员为项目组长; tb_Postion_User:职位成员表; tb_User_Permit:用户授权表,用户ID角色、职位、项目及直接授予的权限串表; 下载后推荐五位同学下载,我愿意给你提供技术支持,目的是为了获得csdn下载分数(我没分,每次下载资源时都是一件麻烦的事情)
多种权限表的设计(数据库设计
04-27
多种权限表的设计(数据库设计),结合网上多人的文章。
数据权限设计(转载)
热门推荐
uzong
01-01 2万+
一、前言 几乎在任何一个系统中,都离不开权限设计权限设计 = 功能权限 + 数据权限,而功能权限,在业界常常是基于RBAC(Role-Based Access Control)的一套方案。而数据权限,则根据不同的业务场景,则权限却不尽相同,应该根据具体的场景巧妙设计; 且必须在项目开始时进行设计,不像功能权限一样,在项目结束的时候在追加。 注:更细还可以加入字段权限 1.1 权限...
数据仓库-基于角色权限管理(RBAC)
liuwufei的博客
12-11 812
基于角色的用户管理(Role-Based Access Control,简称RBAC)是通过为角色赋予权限,用户通过成为适当的角色而得到这些角色权限角色是一组权限的抽象。使用RBAC可以极大简化对权限的管理。为角色赋予适当的权限。指定用户为相应的角色。假设有两个SCHEMA:s1, s2。一组用户包括u1, u2,可以在s1中查询所有表,在s2中更新所有表。另一组用户包括u3, u4,可以在s2中查询所有表,在s1中更新所有表。1.使用系统管理员dbadmin连接DWS数据库。
数据权限是否应该角色绑定
zhangsuhua0702的博客
05-26 2587
数据权限是否应该角色绑定数据权限一些主要的概念为什么我想写这么一个记录矛盾的来源我梳理的方案打工路上的成长 数据权限 在业务系统中,我们常常会有多种角色比如:系统管理员、项目管理员、普通用户等,不同的人员会依据各自业务的需要,拥有不同的资源的数据权限(用户A可以看见项目P1,P2; 用户B则中看见项目P2)。这些资源的分配和菜单权限不同,往往我们的业务紧密相连。并且每当业务系统多新增一种资源,都需要我们考虑到新增资源的数据控制。针对数据权限业内一直也没有一个统一的框架或者方案(像shiro控制菜单权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值