授权的数据模型( RBAC)

已于 2023-01-07 22:47:32 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: # Spring全家桶 文章标签: java
于 2021-07-23 09:19:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45297578/article/details/119022973
版权

Who,即主体(Subject),主体一般是指用户,也可以是程序,需要访问系统中的资源。 What,即资源 (Resource),如系统菜单、页面、按钮、代码方法、系统商品信息、系统订单信息等。系统菜单、页面、按 钮、代码方法都属于系统功能资源,对于web系统每个功能资源通常对应一个URL;系统商品信息、系统订单信息 都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号 为001 的商品为资源实例。 How,权限/许可(Permission),规定了用户对资源的操作许可,权限离开资源没有意义, 如用户查询权限、用户添加权限、某个代码方法的调用权限、编号为001的用户的修改权限等,通过权限可知用户 对哪些资源都有哪些操作许可。
主体、资源、权限关系如下图:
在这里插入图片描述
主体、资源、权限相关的数据模型如下:

  • 主体(用户id、账号、密码、…)
  • 资源(资源id、资源名称、访问地址、…)
  • 权限(权限id、权限标识、权限名称、资源id、…) - 角色(角色id、角色名称、…)
  • 角色和权限关系(角色id、权限id、…)
  • 主体(用户)和角色关系(用户id、角色id、…)

主体(用户)、资源、权限关系如下图:

在这里插入图片描述

通常企业开发中将资源和权限表合并为一张权限表,如下:

  • 资源(资源id、资源名称、访问地址、…)
  • 权限(权限id、权限标识、权限名称、资源id、…)

合并为:

  • 权限(权限id、权限标识、权限名称、资源名称、资源访问地址、…)

修改后数据模型之间的关系如下图:
在这里插入图片描述

RBAC

基于角色的访问控制

RBAC基于角色的访问控制(Role-Based Access Control)是按角色进行授权,比如:主体的角色为总经理可以查 询企业运营报表,查询员工工资信息等,访问控制流程如下:
在这里插入图片描述

根据上图中的判断逻辑,授权代码可表示如下:

if(主体.hasRole("总经理角色id")){
	 查询工资
}

如果上图中查询工资所需要的角色变化为总经理和部门经理,此时就需要修改判断逻辑为“判断用户的角色是否是 总经理或部门经理”,修改代码如下:

if(主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){ 
	查询工资 
}

根据上边的例子发现,当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。

基于资源的访问控制

RBAC基于资源的访问控制(Resource-Based Access Control)是按资源(或权限)进行授权,

在这里插入图片描述
根据上图中的判断,授权代码可以表示为:

if(主体.hasPermission("查询工资权限标识")){ 
	查询工资 
}

优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改 授权代码,系统可扩展性强。

SQL

sys_user

CREATE TABLE `sys_user` (
  `id` int NOT NULL AUTO_INCREMENT,
  `account` varchar(32) COLLATE utf8mb4_bin NOT NULL COMMENT '账号',
  `user_name` varchar(32) COLLATE utf8mb4_bin NOT NULL COMMENT '用户名',
  `password` varchar(64) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '用户密码',
  `last_login_time` datetime DEFAULT NULL COMMENT '上一次登录时间',
  `enabled` tinyint(1) DEFAULT '1' COMMENT '账号是否可用。默认为1(可用)',
  `not_expired` tinyint(1) DEFAULT '1' COMMENT '是否过期。默认为1(没有过期)',
  `account_not_locked` tinyint(1) DEFAULT '1' COMMENT '账号是否锁定。默认为1(没有锁定)',
  `credentials_not_expired` tinyint(1) DEFAULT '1' COMMENT '证书(密码)是否过期。默认为1(没有过期)',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `create_user` int DEFAULT NULL COMMENT '创建人',
  `update_user` int DEFAULT NULL COMMENT '修改人',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='用户表'

sys_role


CREATE TABLE `sys_role` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `role_code` varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin DEFAULT NULL COMMENT '角色code',
  `role_name` varchar(32) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '角色名',
  `role_description` varchar(64) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '角色说明',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='用户角色表'

sys_permission


CREATE TABLE `sys_permission` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `permission_code` varchar(32) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '权限code',
  `permission_name` varchar(32) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '权限名',
  `url` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '权限URL',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='权限表'

sys_user_role_relation


CREATE TABLE `sys_user_role_relation` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `user_id` int DEFAULT NULL COMMENT '用户id',
  `role_id` int DEFAULT NULL COMMENT '角色id',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='用户角色关联关系表'

sys_role_permission_relation


CREATE TABLE `sys_role_permission_relation` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `role_id` int DEFAULT NULL COMMENT '角色id',
  `permission_id` int DEFAULT NULL COMMENT '权限id',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=7 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='角色-权限关联关系表'
李熠漾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于RBAC模型的通用权限管理系统的设计(数据模型)
07-26
基于RBAC模型的通用权限管理系统的设计(数据模型) 本文讨论了基于RBAC模型的通用权限管理系统的设计,主要阐述了RBAC模型的基本概念、RBAC模型的四个组件模型、核心对象模型设计和权限管理系统的设计思想。 ...
RBAC的权限设计模型
01-14
RBAC0模型定义了能构成一个RBAC控制系统的最小的元素集合,包括用户、角色、目标、操作和许可权五个基本数据元素。RBAC1模型引入了角色间的继承关系,RBAC2模型添加了责任分离关系,RBAC3模型则结合了RBAC1和RBAC2。...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3749
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
RBAC权限模型
richest_qi的博客
04-27 1万+
权限 权限,是用户可以访问的资源。包括页面权限、操作权限和数据权限。 页面权限。 页面权限,即用户登录系统可以看到的页面。由菜单控制。菜单包括一级菜单、二级菜单,只有用户有一级菜单、二级菜单的权限,那么用户就可以访问页面。 操作权限。 操作权限,即页面的功能按钮,包括查看、新增、修改和删除等。比如,用户点击删除按钮时,后台会校验用户角色下的所有权限是否包含该删除权限,如果包含,则可进行下一步操作,反之,提示无权操作。 数据权限。 数据权限,即不同用户在同一页面看到的数据是不同的。比如,财务部只能看到财务部
RBAC 模型梳理
最新发布
cliffordl的专栏
06-07 1284
权限是资源的集合,这里的资源指的是软件中所有的内容,包括模块、菜单、页面、字段、操作功能(增删改查)等等。页面权限操作权限和数据权限。
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 2万+
学习RBAC——基于角色权限的模型
通俗易懂的RABC权限实战教程(含配套资料)
07-20
本教程为授权出品本视频讲授RBAC权限模型的设计、以及在项目中的应用 。1. 使用Maven进行项目构建 。2. 页面设计采用响应式前端框架BootStrap 。3. 采用多种方式展现用户数据:树形结构(ztree)、图表(echarts) 等 。4. 基础业务功能采用异步数据操作,增强用户体验效果 。
RBAC模型
weixin_60376559的博客
03-08 1914
RBAC模型的优点:简化权限管理:RBAC模型通过将权限分配给角色,再将角色分配给用户,使得权限管理更加灵活和易于管理。管理员可以通过调整角色和用户之间的关系,来分配和撤销权限,而无需直接管理每个用户的权限。灵活的角色与权限关系:RBAC模型支持多对多的角色与权限关系,即一个角色可以拥有多个权限,一个权限也可以被多个角色所共享。这种灵活性使得RBAC适用于各种复杂的权限管理需求。提高安全性:RBAC模型可以确保用户只有所需的权限,并提供了良好的隔离性。
行业文档-设计装置-基于RBAC模型的临时授权系统.zip
08-27
基于RBAC(Role-Based Access Control,基于角色的访问控制)模型的临时授权系统是这样一种解决方案,它为组织提供了一种灵活且可扩展的方式来管理用户权限,特别是在需要进行临时或特定任务授权的情况下。...
scoutr:具有完整RBAC的简单NoSQL数据管理
02-02
它支持灵活的数据模型,适用于大规模分布式应用。Scoutr作为一个中间层,为DynamoDB提供了更友好的操作方式,允许开发者通过简单的API调用来实现复杂的查询和管理任务,从而减轻了直接与DynamoDB交互时的复杂性。 ...
rbac模型的相关资料
03-21
RBAC(Role-Based Access Control,基于角色的访问控制)模型是一种广泛应用的权限管理系统设计模式,它主要用于管理和控制用户的访问权限,以确保系统安全性和数据隐私。这种模型将权限赋予角色,而用户通过扮演...
什么是 RBAC 模型
m0_52462015的博客
12-29 2万+
前言 RBAC(Role-Based Access Control),基于角色的访问控制,现在主流的权限管理系统的权限设计都是 RBAC 模型,或者是 RBAC 模型的变形。 我们需要思考一个问题:为什么要做权限的管理? 我的理解是在每一个系统中,每个用户所拥有的权限是不一样的,例如一个数据表,管理员可以修改、增加、查看等操作,而普通用户只能查看。所以如何进行用户权限的设计,就是我们需要考虑的问题了。 RBAC 模型是什么 RBAC(Role-Based Access Control),基于角色的访问控制
RBAC权限的设计
Gik99的博客
03-27 1154
RBAC权限的设计
超级全面的权限系统设计方案
Java笔记虾
09-23 3336
权限系统设计 前言 权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。 目前在公司负责权限这块,所以对权限这块的设计比较熟悉,公司采用微服务架构,权限系统自然就独立出来了,其他业务系统包括商品中心,订单中心,用户中心,仓库系统,小程序,多个APP等十几个系统和终端 1....
RBAC模型-权限管理
LC的博客
12-15 1497
RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。 定义 RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理 User(用户):每个用户都有唯一的UID识别,并被授予不同的角色 Role(角色):不同角色具有不同的权限 Permission(权限):访问权限 用户-角色映射:用户和角色之间的映射关系 角色-权限映射:角色和权限之间的映射 它们之间的关系如下图所示: 例如下图, 管理员和普通用户被授
教你学会RBAC权限模型设计
个人博客,欢迎收藏。https://xiaoaozz.github.io/
01-12 1351
教你学会RBAC权限系统设计方案。
【概念】权限管理模型RBAC、ABAC、ACL)
颜淡慕潇
10-13 9046
这三种权限管理模型,也可以说是设计理念;在web后端的开发中都是以用户为主体,构建起来都较为简单。当然,它们各自都有优缺,只是两权相难取其轻,具体开发过程中还需要权衡开发成本而选择。
RBAC权限管理
haoa0320的博客
02-24 1万+
RBAC权限管理
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李熠漾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值