两种RBAC权限控制模型详解

最新推荐文章于 2024-06-07 11:19:48 发布
最新推荐文章于 2024-06-07 11:19:48 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: RESTful Java Spring Boot Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33698579/article/details/80159823
版权
Java 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
Spring Boot
4 篇文章 0 订阅
订阅专栏
RESTful
2 篇文章 0 订阅
订阅专栏

序言

由于最近一直卡在权限控制这个坎上,原来设计的比较简单的权限控制思路已经无法满足比较复杂一些的场景,因此一直在探索一种在大部分场景下比较通用的权限模型。

首先,这里说明一下两种RBAC权限模型分别是“基于角色的权限控制(Role-Based-Access-Control)”和“基于资源的权限控制(Resource-Based-Access-Control)”两种模型,这两种模型是Java最常见的权限控制的模型。它们之间的数据库结构区别并没有太大,甚至也可以一样。都是以最基础的五张表(用户表、角色表、用户-角色关系表、权限表、角色-权限关系表)组成,往后再复杂的业务再在这个基础上进行拓展,例如加入用户组、组织、模块等等概念,可以参考一下一这篇文章:

https://blog.csdn.net/qiaqia609/article/details/38102091

下面就以Spring Boot + Shiro为载体来具体记录一下。

1.准备数据库

首先还是最基础的五张表,后续的所有需求都是在这上面来拓展的,不管是基于角色还是基于资源都是差不多的数据结构。

这里还是贴一下Shiro的配置文件:ShiroConfig.java

/**
 * @author phw
 * @date Created in 04-08-2018
 * @description 基于RESTFul风格的Shiro配置
 */
@Slf4j
@Configuration
public class ShiroConfig {

    @Bean
    public DefaultWebSecurityManager securityManager(MyShiroRealm myShiroRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm);

        /**
         * 关闭shiro自带的session管理
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator evaluator = new DefaultSessionStorageEvaluator();
        evaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(evaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
        //filterFactoryBean.setLoginUrl("/sign-in");
        //添加自己的过滤器并取名jwt
        Map<String, Filter> filterMap = new HashMap<>();
        filterMap.put("jwt", new JWTFilter());
        filterFactoryBean.setFilters(filterMap);
        filterFactoryBean.setSecurityManager(securityManager);
        filterFactoryBean.setUnauthorizedUrl("/401");

        //自定义url规则
        Map<String, String> filterRuleMap = new LinkedHashMap<>();
        // 访问401和404页面不通过我们的Filter
        /*filterRuleMap.put("/401", "anon");
        filterRuleMap.put("/403", "anon");
        filterRuleMap.put("/404", "anon");
        filterRuleMap.put("/sign-in", "anon");
        filterRuleMap.put("/sign-up", "anon");
        filterRuleMap.put("/sign-out", "logout");
        // 所有请求通过自己的JWT Filter
        filterRuleMap.put("/**", "jwt");*/

        /*List<Permission> permissions = permissionMapper.selectAll();
        for (Permission permission: permissions) {
            filterRuleMap.put(permission.getUrl(), permission.getInit());
        }
        filterFactoryBean.setFilterChainDefinitionMap(filterRuleMap);
        log.info("Shiro Filter Factory Bean inject successful...");*/
        return filterFactoryBean;
    }

    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        // 强制使用cglib,防止重复代理和可能引起代理出错的问题
        // https://zhuanlan.zhihu.com/p/29161098
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }

}

这里配置的是无状态(stateless)的shiro配置,因为要用到RESTful协议,所以需要使用jwt来保证api的安全。所以这里需要关闭掉Shiro自带的Session管理器,然后启用Shiro注解,自定义URL规则会在稍后说到。

2.Role Based Access Control

首先,来说一下比较常见的基于角色的权限控制。

我们所说的角色,其实就是一系列权限的集合,里面指定了哪种角色可以做什么事情,而用户也可以看作是一组角色的集合,所以我们在使用第一种rbac来进行权限控制的时候,一般是判断一个用户是否有某一个角色。我们用Shiro来讲就是像下面这样:

@RequiresRoles("admin")
//或者
if(SecurityUtils.getSubject().hasRole("admin")) {
    //do some thing...
    System.out.println("I'm admin.")
}

上面的代码是很多文章集成shiro后成功的样子,我当时也是这么做的,但是随着后来权限管理的业务越来越复杂,这种简单的或者说静态的权限管理模型已经不适用了,举个栗子:如果现在我要增加一个角色,名字叫teacher,让它也能打印一点东西。那么要做的就是首先在数据库添加角色名,然后修改权限代码,改成:

@RequiresRoles(value = {"admin", "teacher"}, logical = Logical.OR)

或者类似。也就是说,每一次变更需求,都需要变更代码,然后重新部署项目~~这显然是不怎么符合我们预期要求的。

因此这种模型只适合对权限需求变动不大的场景了。

当然,优点就是非常简单,开发起来使用起来非常方面,特别是配合上Shiro,一个注解就能搞定。

3.Resource Based Access Control

第二种基于资源的权限控制,是第一种的优化方案,我们还是来看看栗子:

@RequiresPermissions("user:add")
//或者
if(SecurityUtils.getSubject().hasPermission("user:add")) {
    //do some thing...
    System.out.println("user:add");
}

这种方式在一定程度上解决了上述第一种模型的问题,网上也有很多关于Resource Based Access Control的解释,但是这里我用我自己的话来解释一下,还是用上面的栗子,客户要求“admin”和“teacher”都有权限去打印一些东西。于是,第二种就不需要再修改代码了,我直接在前台给teacher授权“user:add”这个权限就可以了啊,因为这样已经很明确的指定了执行这个方法需要什么权限,就是“user:add”权限,我现在不管你是什么角色,什么组织,什么模块也好,只要你拥有这个“user:add”这个权限,那你就能执行这个方法。

但是,问题又来了。

如果现在需求变更,执行这个方法需要另外一个权限“user:edit”怎么办?是不是又得像上面那样,修改代码,重新部署项目。

所以,我们还需要一种能够完全动态控制权限的模型,不把任何权限或者角色写死,直接在数据库(前台)配置,每增加一个功能就注册一个功能然后指定它的需要的权限,就算需求变更,也不需要重新部署项目,只需要在前台稍微修改配置一下就能达到目的。

太晚了,今天就写到这里吧,预知后事如何,请听下回.......分解........

丿夜莺丶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Javaweb基于角色控制权限管理系统
12-24
【标题】:“Javaweb基于角色控制权限管理系统” ...通过这个项目,学习者不仅可以深入理解Javaweb开发,还能掌握RBAC权限模型的实现,以及如何处理数据库的兼容性和项目管理,是提升编程技能的宝贵资源。
NIST RBAC模型 pdf 【英文】
08-27
**NIST RBAC模型详解** NIST(美国国家标准与技术研究所)的角色基础访问控制(Role-Based Access Control,简称RBAC模型是一种广泛采用的权限管理框架,它在信息安全领域具有重要地位。NIST RBAC模型旨在提高...
权限管理——RBAC模型总结
xiaoxuan2015
07-04 3262
权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,无在乎怎么的角色拥有怎样的权限,只要你充当了这个角色,你就拥有了这些功能。         举个简单例子:一个老师在学校教室她就拥有教书育人的权利义务,一个丈夫在家就有呵护妻子支撑家庭的权利义务,而一个父亲在孩子面前就有保护孩子,教育孩子的权利义务……而作为一个男生,我们很可能在不同的场所,成为这些角色,
用户授权RBAC
Relievedz的博客
03-20 424
优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强。主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){根据上边的例子发现,当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。基于角色的访问控制(Role-Based Access Control)主体.hasPermission("查询工资权限标识")){主体.hasRole("总经理角色id")){
RBAC 模型梳理
最新发布
cliffordl的专栏
06-07 1266
权限是资源的集合,这里的资源指的是软件中所有的内容,包括模块、菜单、页面、字段、操作功能(增删改查)等等。页面权限操作权限和数据权限
RBAC模型-权限管理
LC的博客
12-15 1495
RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。 定义 RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理 User(用户):每个用户都有唯一的UID识别,并被授予不同的角色 Role(角色):不同角色具有不同的权限 Permission(权限):访问权限 用户-角色映射:用户和角色之间的映射关系 角色-权限映射:角色和权限之间的映射 它们之间的关系如下图所示: 例如下图, 管理员和普通用户被授
基础平台项目之RBAC权限管理设计
热门推荐
Nicky's blog
12-23 2万+
计划在Team的Github开源项目里加入权限控制的业务功能。从而实现权限控制。在很多管理系统里都是有权限管理这些通用模块的,当然在企业项目里,权限控制是很繁杂的。 Team的Github开源项目链接:https://github.com/u014427391/jeeplatform 欢迎star(收藏) RBAC(基于角色的访问控制):英文名称Rose base Access Contro
用户·角色·权限·表的设计
u013595377的专栏
05-15 2万+
一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。        权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 二.设计目标        设计一个
RBAC模型(1)
zxygww的专栏
07-06 1280
http://blog.163.com/yesaidu@126/blog/static/51819307200711231852769/ 一、   前言 管理信息系统是一个复杂的人机交互系统,其中每个具体环节都可能受到安全威胁。构建强健的权限管理系统,保证管理信息系统的安全性是十分重要的。权限管理系统是管理信息系统中可代码重用性最高的模块之一, 也是重复开发率最高的模块之一。任
atcrowdfunding-web.zip_RBAC权限_atcrowdfunding_office8eu_spiritv8b
09-23
RBAC权限模型是一种基于角色的访问控制方式,它将用户与权限的关系通过角色进行间接关联。在atcrowdfunding-web项目中,角色定义了用户可以访问的资源和执行的操作。用户通过分配不同的角色来获得相应的权限,而角色...
Laravel开发-rbac
08-28
Laravel 提供了两种授权方式:gates 和 policies。Gates 是在`AuthServiceProvider`中定义的函数,用于直接检查用户是否有特定的权限。Policies 是更面向对象的方法,为每个模型类创建一个对应的策略类,包含多个...
RBAC权限模型学习总结
尘归雨的博客
11-05 2270
RBAC(Role-Based Access Control),基于角色的权限访问控制。   RBAC支持公认的安全原则:最小特权原则、责任分离原则和数据抽象原则。 最小特权原则得到支持,是因为在RBAC模型中可以通过限制分配给角色权限的多少和大小来实现,分配给与某用户对应的角色的权限只要不超过该用户完成其任务的需要就可以了。 责任分离原则的实现,是因为在RBAC模型中可以通过在完成敏感任...
权限管理模型 ---- ACL、RBAC和ABAC(详解)
brother_Cheng_Py的博客
12-17 1万+
前言 在管理系统中会涉及到很多用户权限相关问题,对于不同的系统所使用的的权限管理模型也是多样的。 ACL 基于用户的权限管理模型 基于用户的概念就是说直接对用户进行权限分配管理,好处是模型构建简单,只需要给用户授予或者取消对应权限即可。但是相对的,如果用户数量庞大的情况下,这套模型就很不实用。因为需要对每一位用户对应权限进行维护,这导致维护成本太高。 ACL模型表结构很简单,只需要用户user表和权限节点node以及user和node的多对多关系表us...
RBAC新解:基于资源的权限管理(Resource-Based Access Control)
汪小哥
12-19 8654
什么是角色 当说到程序的权限管理时,人们往往想到角色这一概念。角色是代表一系列可执行的操作或责任的实体,用于限定你在软件系统中能做什么、不能做什么。用户帐号往往与角色相关联,因此,一个用户在软件系统中能做什么取决于与之关联的各个角色。 例如,一个用户以关联了”管理员”角色的帐号登录系统,那这个用户就可以做项目管理员能做的所有事情哦,管理员可以做啥,整个用户就可以得到所有的权限。基于角色的访问控制
Ocelot统一权限验证
dotNET跨平台
12-11 3913
Ocelot作为网关,可以用来作统一验证,接上一篇博客Ocelot网关,我们继续 前一篇,我们创建了OcelotGateway网关项目,DemoAAPI项目,DemoBAPI项目,为了验证用户并分发Token,现在还需要添加AuthenticationAPI项目,也是asp.net core web api项目,整体思路是,当用户首次请求(Request)时web服务,网关会判断本请求有无T
实现自己的权限管理系统(十一):角色用户模块、角色权限模块、权限过滤
LinDongTian
09-12 4625
前面弄了那么多,都是单独的模块。现在我们需要把用户和权限通过角色关联起来。 一、角色权限模块 1、角色的权限列表更新操作 public void changeRoleAcls(int roleId, List<Integer> aclIdList) { //取出当前角色已分配的权限ID List<Integer> originAclI...
基于RBAC权限模型模拟实现权限控制
03-23
非常感谢您的提问。RBAC权限模型是一种常见的权限控制模型,可以通过角色、权限和用户之间的关系来管理系统中的访问控制。要基于RBAC权限模型模拟实现权限控制,需要考虑以下几个方面: 1. 定义角色和权限:首先需要定义系统中的角色和权限,例如管理员、普通用户、编辑、查看等角色和对应的权限。 2. 分配角色和权限:将角色和权限进行分配,例如将管理员角色分配给某些用户,或者将编辑权限分配给某些角色。 3. 验证用户权限:在用户访问系统资源时,需要验证用户是否具有相应的权限。可以通过检查用户所属的角色和角色所具有的权限来进行验证。 4. 管理角色和权限:需要提供管理角色和权限的接口,例如添加、删除、修改角色和权限等操作。 关于具体的实现方式,可以使用编程语言和框架提供的权限控制功能,或者自己实现RBAC权限模型。具体实现方式可以根据具体的需求和技术栈进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值