授权的数据模型( RBAC)

已于 2023-01-07 22:47:32 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: # Spring全家桶 文章标签: java
于 2021-07-23 09:19:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45297578/article/details/119022973
版权

Who,即主体(Subject),主体一般是指用户,也可以是程序,需要访问系统中的资源。 What,即资源 (Resource),如系统菜单、页面、按钮、代码方法、系统商品信息、系统订单信息等。系统菜单、页面、按 钮、代码方法都属于系统功能资源,对于web系统每个功能资源通常对应一个URL;系统商品信息、系统订单信息 都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号 为001 的商品为资源实例。 How,权限/许可(Permission),规定了用户对资源的操作许可,权限离开资源没有意义, 如用户查询权限、用户添加权限、某个代码方法的调用权限、编号为001的用户的修改权限等,通过权限可知用户 对哪些资源都有哪些操作许可。
主体、资源、权限关系如下图:
在这里插入图片描述
主体、资源、权限相关的数据模型如下:

  • 主体(用户id、账号、密码、…)
  • 资源(资源id、资源名称、访问地址、…)
  • 权限(权限id、权限标识、权限名称、资源id、…) - 角色(角色id、角色名称、…)
  • 角色和权限关系(角色id、权限id、…)
  • 主体(用户)和角色关系(用户id、角色id、…)

主体(用户)、资源、权限关系如下图:

在这里插入图片描述

通常企业开发中将资源和权限表合并为一张权限表,如下:

  • 资源(资源id、资源名称、访问地址、…)
  • 权限(权限id、权限标识、权限名称、资源id、…)

合并为:

  • 权限(权限id、权限标识、权限名称、资源名称、资源访问地址、…)

修改后数据模型之间的关系如下图:
在这里插入图片描述

RBAC

基于角色的访问控制

RBAC基于角色的访问控制(Role-Based Access Control)是按角色进行授权,比如:主体的角色为总经理可以查 询企业运营报表,查询员工工资信息等,访问控制流程如下:
在这里插入图片描述

根据上图中的判断逻辑,授权代码可表示如下:

if(主体.hasRole("总经理角色id")){
	 查询工资
}

如果上图中查询工资所需要的角色变化为总经理和部门经理,此时就需要修改判断逻辑为“判断用户的角色是否是 总经理或部门经理”,修改代码如下:

if(主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){ 
	查询工资 
}

根据上边的例子发现,当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。

基于资源的访问控制

RBAC基于资源的访问控制(Resource-Based Access Control)是按资源(或权限)进行授权,

在这里插入图片描述
根据上图中的判断,授权代码可以表示为:

if(主体.hasPermission("查询工资权限标识")){ 
	查询工资 
}

优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改 授权代码,系统可扩展性强。

SQL

sys_user

CREATE TABLE `sys_user` (
  `id` int NOT NULL AUTO_INCREMENT,
  `account` varchar(32) COLLATE utf8mb4_bin NOT NULL COMMENT '账号',
  `user_name` varchar(32) COLLATE utf8mb4_bin NOT NULL COMMENT '用户名',
  `password` varchar(64) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '用户密码',
  `last_login_time` datetime DEFAULT NULL COMMENT '上一次登录时间',
  `enabled` tinyint(1) DEFAULT '1' COMMENT '账号是否可用。默认为1(可用)',
  `not_expired` tinyint(1) DEFAULT '1' COMMENT '是否过期。默认为1(没有过期)',
  `account_not_locked` tinyint(1) DEFAULT '1' COMMENT '账号是否锁定。默认为1(没有锁定)',
  `credentials_not_expired` tinyint(1) DEFAULT '1' COMMENT '证书(密码)是否过期。默认为1(没有过期)',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `create_user` int DEFAULT NULL COMMENT '创建人',
  `update_user` int DEFAULT NULL COMMENT '修改人',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='用户表'

sys_role


CREATE TABLE `sys_role` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `role_code` varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin DEFAULT NULL COMMENT '角色code',
  `role_name` varchar(32) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '角色名',
  `role_description` varchar(64) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '角色说明',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='用户角色表'

sys_permission


CREATE TABLE `sys_permission` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `permission_code` varchar(32) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '权限code',
  `permission_name` varchar(32) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '权限名',
  `url` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '权限URL',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='权限表'

sys_user_role_relation


CREATE TABLE `sys_user_role_relation` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `user_id` int DEFAULT NULL COMMENT '用户id',
  `role_id` int DEFAULT NULL COMMENT '角色id',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='用户角色关联关系表'

sys_role_permission_relation


CREATE TABLE `sys_role_permission_relation` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `role_id` int DEFAULT NULL COMMENT '角色id',
  `permission_id` int DEFAULT NULL COMMENT '权限id',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `deleted` tinyint(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=7 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin COMMENT='角色-权限关联关系表'
李熠漾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于RBAC模型的通用权限管理系统的设计(数据模型)
07-26
基于RBAC模型的通用权限管理系统的设计(数据模型) 本文讨论了基于RBAC模型的通用权限管理系统的设计,主要阐述了RBAC模型的基本概念、RBAC模型的四个组件模型、核心对象模型设计和权限管理系统的设计思想。 ...
RBAC的权限设计模型
01-14
RBAC0模型定义了能构成一个RBAC控制系统的最小的元素集合,包括用户、角色、目标、操作和许可权五个基本数据元素。RBAC1模型引入了角色间的继承关系,RBAC2模型添加了责任分离关系,RBAC3模型则结合了RBAC1和RBAC2。...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3759
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
RBAC权限模型
richest_qi的博客
04-27 1万+
权限 权限,是用户可以访问的资源。包括页面权限、操作权限和数据权限。 页面权限。 页面权限,即用户登录系统可以看到的页面。由菜单控制。菜单包括一级菜单、二级菜单,只有用户有一级菜单、二级菜单的权限,那么用户就可以访问页面。 操作权限。 操作权限,即页面的功能按钮,包括查看、新增、修改和删除等。比如,用户点击删除按钮时,后台会校验用户角色下的所有权限是否包含该删除权限,如果包含,则可进行下一步操作,反之,提示无权操作。 数据权限。 数据权限,即不同用户在同一页面看到的数据是不同的。比如,财务部只能看到财务部
RBAC 模型梳理
最新发布
cliffordl的专栏
06-07 1308
权限是资源的集合,这里的资源指的是软件中所有的内容,包括模块、菜单、页面、字段、操作功能(增删改查)等等。页面权限操作权限和数据权限。
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 2万+
学习RBAC——基于角色权限的模型
通俗易懂的RABC权限实战教程(含配套资料)
07-20
本教程为授权出品本视频讲授RBAC权限模型的设计、以及在项目中的应用 。1. 使用Maven进行项目构建 。2. 页面设计采用响应式前端框架BootStrap 。3. 采用多种方式展现用户数据:树形结构(ztree)、图表(echarts) 等 。4. 基础业务功能采用异步数据操作,增强用户体验效果 。
RBAC模型
weixin_60376559的博客
03-08 2067
RBAC模型的优点:简化权限管理:RBAC模型通过将权限分配给角色,再将角色分配给用户,使得权限管理更加灵活和易于管理。管理员可以通过调整角色和用户之间的关系,来分配和撤销权限,而无需直接管理每个用户的权限。灵活的角色与权限关系:RBAC模型支持多对多的角色与权限关系,即一个角色可以拥有多个权限,一个权限也可以被多个角色所共享。这种灵活性使得RBAC适用于各种复杂的权限管理需求。提高安全性:RBAC模型可以确保用户只有所需的权限,并提供了良好的隔离性。
行业文档-设计装置-基于RBAC模型的临时授权系统.zip
08-27
基于RBAC(Role-Based Access Control,基于角色的访问控制)模型的临时授权系统是这样一种解决方案,它为组织提供了一种灵活且可扩展的方式来管理用户权限,特别是在需要进行临时或特定任务授权的情况下。...
scoutr:具有完整RBAC的简单NoSQL数据管理
02-02
它支持灵活的数据模型,适用于大规模分布式应用。Scoutr作为一个中间层,为DynamoDB提供了更友好的操作方式,允许开发者通过简单的API调用来实现复杂的查询和管理任务,从而减轻了直接与DynamoDB交互时的复杂性。 ...
rbac模型的相关资料
03-21
RBAC(Role-Based Access Control,基于角色的访问控制)模型是一种广泛应用的权限管理系统设计模式,它主要用于管理和控制用户的访问权限,以确保系统安全性和数据隐私。这种模型将权限赋予角色,而用户通过扮演...
RBAC 权限练习
08-29
RBAC,即Role-Based Access Control(基于角色的访问控制),是一种广泛采用的权限模型,它通过定义不同角色及其对应的权限来实现用户对资源的访问控制。本练习将深入探讨RBAC模型的基本原理、设计与实现,帮助你更...
RBAC权限控制模型简介.docx
12-19
RBAC模型中,权限管理主要由两个核心部分构成:授权(包括正向授权和负向授权)和认证。授权是指将权限赋予用户或者角色的过程,而认证则是确认用户身份的过程。权限本身是对资源的控制,特别是对于Web应用,通常...
RBAC模型在OA系统中的应用
06-07
通过用户组,可以将多个用户一次性赋予相同的权限,简化权限分配过程,同时,也可以将数据资源的权限授权给用户组,进一步提高了权限管理的灵活性。 6. 访问规则(Access Rule) 访问规则是对用户或角色访问资源的...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
什么是 RBAC 模型
m0_52462015的博客
12-29 2万+
前言 RBAC(Role-Based Access Control),基于角色的访问控制,现在主流的权限管理系统的权限设计都是 RBAC 模型,或者是 RBAC 模型的变形。 我们需要思考一个问题:为什么要做权限的管理? 我的理解是在每一个系统中,每个用户所拥有的权限是不一样的,例如一个数据表,管理员可以修改、增加、查看等操作,而普通用户只能查看。所以如何进行用户权限的设计,就是我们需要考虑的问题了。 RBAC 模型是什么 RBAC(Role-Based Access Control),基于角色的访问控制
RBAC权限的设计
Gik99的博客
03-27 1156
RBAC权限的设计
超级全面的权限系统设计方案
Java笔记虾
09-23 3340
权限系统设计 前言 权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。 目前在公司负责权限这块,所以对权限这块的设计比较熟悉,公司采用微服务架构,权限系统自然就独立出来了,其他业务系统包括商品中心,订单中心,用户中心,仓库系统,小程序,多个APP等十几个系统和终端 1....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李熠漾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值