架构设计之RBAC基于角色的访问控制设计

概念

RBAC（Role-Based Access Control，基于角色的访问控制）是一种常见的权限管理模型，它通过定义角色来分配权限，然后将角色分配给用户。在Java中实现RBAC权限管理，你可以遵循以下步骤：

1. 定义权限模型：

   • 角色（Role）：角色是一组权限的集合。
   • 权限（Permission）：权限是访问控制的最小单元，如查看、编辑、删除等。
   • 用户（User）：用户是权限系统的主体，可以拥有多个角色。

2. 设计数据结构：

   • 使用类或数据库表来表示角色、权限和用户。
   • 角色和权限之间通常是多对多关系，可以通过一个关联表来实现。

3. 创建数据库表（详细表设计看附录）：

   • users：存储用户信息。
   • roles：存储角色信息。
   • permissions：存储权限信息。
   • role_permissions：角色和权限的关联表。
   • user_roles：用户和角色的关联表。

4. 实现业务逻辑：

   • 用户管理：创建、更新、删除用户信息。
   • 角色管理：创建、更新、删除角色信息。
   • 权限管理：创建、更新、删除权限信息。
   • 角色分配：将角色分配给用户。
   • 权限分配：将权限分配给角色。

5. 访问控制：

   • 在系统中的每个访问点，检查当前用户是否拥有执行操作所需的权限。
   • 可以通过拦截器（Interceptor）或过滤器（Filter）来实现。

6. 会话管理：

   • 用户登录后，其角色和权限信息应该被加载到会话中，以便进行访问控制检查。

7. 实现安全措施：

   • 确保所有的数据传输都是加密的。
   • 防止SQL注入和其他安全漏洞。

8. 单元测试：

   • 对权限管理的各个部分进行单元测试，确保逻辑正确。

9. 用户界面：

   • 提供一个用户界面，让用户能够看到自己的权限，并进行一些基本的权限管理操作。

10. 日志记录：

    • 对关键操作进行日志记录，以便于问题追踪和系统监控。

示例1 定义角色和权限的类

以下是一个简单的Java代码示例，展示如何定义角色和权限的类：

import java.util.HashSet;
import java.util.Set;

//https://zhengkai.blog.csdn.net/
public class User {
    private String id;
    private String username;
    private Set<Role> roles = new HashSet<>();

    // 省略构造函数、getter和setter
}

public class Role {
    private String id;
    private String name;
    private Set<Permission> permissions = new HashSet<>();

    // 省略构造函数、getter和setter
}

public class Permission {
    private String id;
    private String name;

    // 省略构造函数、getter和setter
}

public class AccessControlService {
    public boolean hasPermission(User user, Permission permission) {
        for (Role role : user.getRoles()) {
            if (role.getPermissions().contains(permission)) {
                return true;
            }
        }
        return false;
    }
}

数据库设计

在设计RBAC（基于角色的访问控制）系统的数据库时，你需要创建几个关键的表来存储用户、角色、权限以及它们之间的关系。以下是一些基本的表和字段设计示例：

1. Users（用户表）

   • user_id: 主键，唯一标识一个用户。
   • username: 用户名，唯一。
   • password: 密码（存储加密后的密码）。
   • email: 电子邮箱地址。
   • created_at: 账户创建时间。
   • 其他用户相关信息字段。

2. Roles（角色表）

   • role_id: 主键，唯一标识一个角色。
   • role_name: 角色名称，如管理员、普通用户等。
   • description: 角色描述。
   • created_at: 角色创建时间。

3. Permissions（权限表）

   • permission_id: 主键，唯一标识一个权限。
   • permission_name: 权限名称，如DELETE_USER、EDIT_POST等。
   • description: 权限描述。
   • created_at: 权限创建时间。

4. UserRole（用户角色关联表）

   • user_id: 外键，关联到Users表。
   • role_id: 外键，关联到Roles表。
   • 这个表表示多对多关系，一个用户可以有多个角色，一个角色可以被多个用户拥有。

5. RolePermission（角色权限关联表）

   • role_id: 外键，关联到Roles表。
   • permission_id: 外键，关联到Permissions表。
   • 这个表表示多对多关系，一个角色可以包含多个权限，一个权限可以被多个角色拥有。

CREATE TABLE Users (
    user_id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(255) UNIQUE NOT NULL,
    password VARCHAR(255) NOT NULL,
    email VARCHAR(255),
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE Roles (
    role_id INT AUTO_INCREMENT PRIMARY KEY,
    role_name VARCHAR(255) UNIQUE NOT NULL,
    description TEXT,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE Permissions (
    permission_id INT AUTO_INCREMENT PRIMARY KEY,
    permission_name VARCHAR(255) UNIQUE NOT NULL,
    description TEXT,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE UserRole (
    user_id INT,
    role_id INT,
    PRIMARY KEY (user_id, role_id),
    FOREIGN KEY (user_id) REFERENCES Users(user_id),
    FOREIGN KEY (role_id) REFERENCES Roles(role_id)
);

CREATE TABLE RolePermission (
    role_id INT,
    permission_id INT,
    PRIMARY KEY (role_id, permission_id),
    FOREIGN KEY (role_id) REFERENCES Roles(role_id),
    FOREIGN KEY (permission_id) REFERENCES Permissions(permission_id)
);