2021-04-24

已于 2022-03-25 21:59:18 修改
阅读量731 收藏 2
点赞数 3
分类专栏: 权限 数据权限设计思路 文章标签: java
于 2021-04-24 15:57:29 首次发布
原文链接:https://blog.csdn.net/weixin_39714164/article/details/110869928?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161925071116780261931832%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=161925071116780261931832&biz_id=0&ut
版权

数据权限设计思路_权限系统设计思路(转载)

一. 权限系统

1.1 系统定义

用户管理:用户管理中的用户主要是功能系统的使用者,对应业务的用户有着基本相似的系统功能使用需求和权限等级,对个体进行关联性的初步分群或者分组

角色管理:角色是基于业务管理需求而预先在系统中设定好的,每个角色对应明确的系统权限,是众多最小权限颗粒的组成

权限管理:基于角色的访问权限控制(RBAC)模型,赋予用户的权限管理,可以分为两大类型:​

b6a67afbe72d17bd94ac0a417225299f.png

功能权限: 功能权限是系统执行权限控制的基本单元。针对功能模块来划分用户权限是比较粗颗粒度的一种划分方式。不同角色的用户查看相同的数据字段,但可执行的功能操作不同

数据权限: 数据字段权限是较细颗粒度,实现不同角色用户进入同一模块时,可见的数据字段都有差异。这些字段共存在一个页面中,只是受限于不同的角色权限而已

二. RBAC模型

2.1 RBAC模型

成熟的权限模型强调用户与角色是多对多关系,角色与权限是多对多关系。以“用户”为单位的权限设计;以“权限”为单位的权限设计;以“用户”与“权限”结合的权限设计

c453d30234680d669327f0a3fc1340ae.png

2.2 RBAC-0模型

RBAC0是RBAC模型的核心基础思想,即用户通过被赋予角色和权限进行关联。用户、角色和权限之间的两两关系均是多对多关系,即一个用户可以被赋予多个角色,一个角色可以被赋予多个用户。一个角色可以拥有多项权限,一项权限可以赋予多个角色。

baffd2a5ccb0efab528f7a32d603ccd8.png

角色起到了桥梁的作用,连接了用户和权限的关系,每个角色可以关联多个权限,同时一个用户关联多个角色,那么这个用户就有了多个角色的多个权限。

2.3 RBAC-1模型

RBAC1是引入继承关系的RBAC模型,一个角色可以从另一个角色继承许可权,即角色具有上下级的关系.角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系允许角色间的多继承,受限继承关系则进一步要求角色继承关系是一个树结构

3b843f9af41d136e863a7085cda05f0f.png

从上图举例,角色B继承自角色A,角色A拥有权限1-2,则无须再单独赋予角色B。角色B自动拥有权限1-2,并且还可以单独赋予权限3-4。例如一个部门中的多个业务小组,每个业务小组只能看到自己小组的数据,但部门经理可以看到全部小组的数据。

2.4 RBAC-2模型

RBAC-2模型在用户与角色间和角色与角色之间加入了一些规则。规定了权限被赋予角色时或角色被赋予用户时所应遵循的强制性规则。角色互斥、基数约束、先决条件角色等。

  • 互斥角色:同一用户在两个互斥角色中只能选择一个,分为静态职责分离SSD和动态职责分离SSD
  • 先决条件角色 :指要想获得较高的权限,要首先拥有低一级的权限。角色A为角色B的上级,要想为用户分配角色A,则必须先分配角色B
  • 基数约束:一个角色被分配的用户数量受限;一个用户可拥有的角色数目受限;一个角色的权限数目受限
  • 运行时互斥:允许一个用户具有两个角色,但在运行中不可同时激活这两个角色。运行时只能激活一个角色

9f8e18f5b8fc22a1a970796f57006df9.png

2.6 用户组和权限组

基于RBAC的普通用户组,直接给用户组分配角色,再把用户加入用户组。这样用户除了拥有自身的权限外,还拥有了所属用户组的所有权限。若用户离开了当前用户组之后,就自动失去了该组的权限。同时用户在组中时,同样不影响对该用户单独赋予权限。具有上下级关系的用户组和权限组:权限组则是将多个权限直接打包,在赋予权限时,直接按权限组赋予

08fca85dd4a2b873f93c20c580efbec1.png

三. 设计过程

3.1 用户-角色-权限

80f0d2f13fe101c92051e14f68ccf1a3.png

用户-角色-权限的设计方式是最为简单的设计方式。把操作权限分配给角色,新增一个新的角色以后,就会给这个新增的角色分配相应的操作权限,包括操作权限和数据查看权限

7117e1553dfb910e7df8571fca2d3657.png

3.2 功能权限的处理方式

功能权限定义:为可见、可以操作的功能范围。控制用户对字段的可见性,可编辑性

  • 读写权限:用户具备该字段的最大权限,可见可编辑列表和详情页该字段
  • 只读权限:可见列表和详情页该字段。但不可编辑
  • 不可见权限:不可见不可编辑列表和详情页该字段

f42015ef93e4322092d52ca2150a5fd3.png

需要注意的一个问题是,权限控制的最小粒度。如果要实现每一个权限的控制,相当于每一个权限对应功能都需要做封装

3.3 数据权限的处理方式

d458580f323b7796840c48a8f0ebd44c.png

数据权限定义:数据权限管理主要控制某条数据记录对用户是否可见,结合功能权限可以更灵活的配置业务过程中每一位员工的功能操作权限及数据可见范围

  • 基础数据权限:即根据数据的负责人来决定
  • 数据共享:根据基础数据权限中的数据记录所属将其共享给其它用户查看或编辑

4ef7d86ea525b924a80a56274b00c3a9.png

数据共享规则是将某个部门/用户(数据来源)的负责的数据(可部分)共享给某个部门、用户或者用户组(共享范围)。配置数据共享规则后,被共享方对共享方所负责的所有数据可见,并具备共享权限对应的操作权限

62243106bf0139cfd4e30cfe7ff4b4dd.png

  • 数据来源于:即需要共享的数据,选择用户即指该用户负责的记录数据,选择部门即指该部门下员工负责的记录数据
  • 共享的数据:选择需共享的对象,比如将用户A负责的客户数据共享给用户B。 数据共享到:被共享方,可选择用户、部门或用户组,被选择的用户、部门或用户组成员将可以看到共享的数据
  • 共享后的权限:配置被共享方可对数据查看或是可编辑的权限。如果配置为“读写”权限后,被共享方对共享数据的权限可类比于负责人的权限

四、总结

4.1 结语

对于后台权限管理系统并不是越复杂越好,最有效的手段还是从使用场景出发,使用场景决定业务逻辑,业务逻辑决定功能逻辑。这也是对业务为导向的后台产品至关重要

原文链接:数据权限设计思路_权限系统设计思路_weixin_39714164的博客-CSDN博客

Geoffrey01
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RBAC权限系统分析、设计与实现
╱/.独﹄無㈡oоΟ的博客
02-14 948
目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这些文章也主要是介绍基于RBAC的权限管理系统,这篇文章从RBAC是什么、如何设计RBAC两部分来介绍。 我所负责的项目涉及到角色权限的问题全部是通过RBAC来实现的,以前只是出于熟练使用的层面,现在学习一下RBAC更深层次的理论知识。 一、RBAC是什么 1、RBAC模型概述 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为.
0、信息学奥赛(CSP-J CSP-S NOI)相关书籍汇总--2021-04-24(C++版)D.pdf
04-24
0、信息学奥赛(CSP-J CSP-S NOI)相关书籍汇总--2021-04-24(C++版)D.pdf
众筹项目 RBAC 角色模块
孙荣达的博客
03-09 204
项目计划 RBAC 角色模块 第一章 RBAC权限模型 1.1 基础表模型 1.概念 权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,不同的角色拥有不同的权限,只要你充当了某个角色,你就拥有了相对应的功能。 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。 简单地说,一个用户拥有若干角色,每一个...
mysql表设计角色互斥_【数据库设计与实现】第五章:同步与互斥
weixin_31207903的博客
02-08 614
5.1设计原则数据库的一个重要能力就是为多个用户提供并发访问服务,并发度是考察数据库性能的重要指标之一。事务隔离级别定义了并发控制算法的正确性,并让用户通过选择隔离级别在正确性和高性能之间进行平衡。事务重点考虑的是数据层面的并发控制,是属于较上层的同步与互斥。实际上,数据库系统是由大量进程、线程、数据结构构成的,进程、线程会并发地访问、修改数据结构,还需要在较底层级解决数据结构的同步与互斥问题。只...
设计一个完美的用户角色权限表
最新发布
weixin_44976692的博客
05-25 2749
设计一个完美的用户角色权限表需要考虑系统的安全性、灵活性和可扩展性。以下是一个详细的用户角色权限管理表设计方案,包含多个表结构和字段描述。
mysql表设计角色互斥_数据库设计 – 拥有多个互斥的一对一关系是不好的做法?...
weixin_33603397的博客
02-03 490
不同类型的汽车是在数据建模中反复出现的一般问题的实例.它在ER建模中称为“泛化/专业化”,在对象建模中称为“超类/子类”.对象建模器使用对象模型中内置的继承功能来非常轻松地解决问题.子类只是扩展了超类.关系建模者面临一个问题.如何设计表格以模仿从继承中获得的好处?最简单的技术称为single table inheritance.有关所有类型汽车的数据被分组为一个单独的汽车表.有一个列car_typ...
mysql表角色互斥_MySQL如何实现互斥访问,锁表?
weixin_33865450的博客
01-19 318
由于在MySQL中没有类似Oracle的序列的概念,因此决定通过一个表和两个存储过程来模拟这个功能。我希望来自不同服务器的连接调用时,会有同步功能。CreateTabletbSequence(IdIntUnsignedNotNullAuto_IncrementPrimaryKey,SequenceNameVarchar(50)NotNull,SequenceValue...
常见模块设计--权限管理(一)
热门推荐
用心编码
05-31 5万+
1.基于 RBAC(Role-based Access Control)权限访问控制。也就是说一个用户可以有多个角色,一个角色可以有多个权限,通过将角色和权限分离开来提高设计的可扩展性,通常一个用户有多个角色,一个角色也会属于多个用户(多对多),一个角色有多个权限,一个权限也会属于多个角色(多对多)。
2021-04-24-GopherCon-Russia:GopherCon俄罗斯2021的代码和幻灯片
04-30
GopherCon俄罗斯2021 该存储库包含我在演讲的幻灯片和代码。 滑梯 目录包含演讲的幻灯片。 它们采用显式格式。 为了运行它们,您需要一个静态的Web服务器。 开箱即提供支持。 要使用它,请确保您拥有Caddy v2并从该...
js代码-时间字符串反转换,如: 2021-04-04 13:34:33 => 20210404133433 2021-04-04 => 20210404 13:34:33 => 133433
07-16
js代码-时间字符串反转换,如: 2021-04-04 13:34:33 => 20210404133433 2021-04-04 => 20210404 13:34:33 => 133433
Stream-p9.toutiaoimg.com-2021-04-04 20:51:24.har
04-04
Stream-p9.toutiaoimg.com-2021-04-04 20:51:24.har
基于互斥角色约束的静态职责分离策略 (2011年)
05-13
静态职责分离(SSOD)足保证计算机安全的重要策略。在基于角色的权限控制(RBAC)中直接基于互斥角色约束(2-2 SMER)实现最简单的SSOD策略(2-n SSOD)是困难的。通过对互斥角色的权限分配进行约束,研究并证明了基于2-2 SMER实现2-n SSOD策略的充分条件,此充分条件和现有研究相比具有更弱的约束力,支持更灵活的权限分配。进一步给出了实现2-n SSOD策略的授权管理操作规则,以确保权限的动态管理始终满足此充分条件,维持系统对2-n SSOD策略的满足状态。最后,通过应用实例说明了实
2021-03-04-raspios-buster-armhf-lite.zip
04-24
无需积分,截止2021/4/24 ,最新的Raspberry pi os 无桌面极简版官方系统
RBAC-基于角色权限的模型
shxguozhq的博客
10-21 181
RBAC(Role-Based Access Control),即基于角色的权限控制。通过用户关联角色角色关联权限的方式间接赋予用户权限。有人会问为什么不直接将权限赋值给用户,中间要增加角色这一环节?其实是可以直接为用户分配权限的,但是这样就少了一层关系,扩展性弱了很多,适合哪些用户数量、角色类型少的平台。一般的系统中,都会存在多个用户拥有相同权限的情况,在分配的时候,就需要分别给不同的用户指定权限,后续权限更新也是个麻烦事儿。
RBAC模型-权限管理
LC的博客
12-15 1476
在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。 定义 RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理 User(用户):每个用户都有唯一的UID识别,并被授予不同的角色 Role(角色):不同角色具有不同的权限 Permission(权限):访问权限 用户-角色映射:用户和角色之间的映射关系 角色-权限映射:角色和权限之间的映射 它们之间的关系如下图所示: 例如下图, 管理员和普通用户被授
RBAC(一)
weixin_37940130的博客
11-27 627
介绍 RBAC(基于角色的权限控制,role base access control)是一种设计模式,用于设计和管理权限相关数据的一种模型。 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为True的求解过程,也即是将权限问题转换为What、How的问题,Who、What、How构成了访问权限三元组。 组成 RBAC的组成主要有三个部分:用户、角色和权限用户:每个用户都有唯一的id识别,并赋予不同的角色角色:不同角..
用户-角色-权限设计【笔记】
packdge_black的博客
08-01 3500
简要介绍RBAC模型
RBAC权限模型
IU
02-17 1003
RBAC是基于角色的访问控制,在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。
实现互斥的几种方案
guicaifjz的博客
08-13 3271
实现互斥的方案忙等待的互斥屏蔽中断锁变量严格轮换法Peterson解法TSL指令睡眠与唤醒生产者-消费者问题 忙等待的互斥 屏蔽中断 在单处理器系统中,最简单的方法是使每个进程在刚刚进入临界区后立即屏蔽所有中断,并在就要离开之前再打开中断。屏蔽中断后,时钟中断也被屏蔽。CPU只有发生时钟中断或其他中断时才会进行进程切换,这样,在屏蔽中断之后CPU将不会被切换到其他进程。于是,一旦某个进程屏蔽中断之后,它就可以检查和修改共享内存,而不必担心其他进程介入 这个方案并不好,因为把屏蔽中断的权力交给用户进程是不明智
结果是这样的,没有根据id排:start_date end_date 0 2020-01-15 2020-04-27 1 2020-09-30 2020-10-10 2 2021-02-07 2021-02-22 3 2021-03-06 2021-03-24 4 2020-01-21 2020-03-03 .. ... ... 639 2021-03-09 2021-03-18 640 2021-03-24 2021-04-01 641 2020-01-12 2020-04-19 642 2021-02-09 2021-02-18 643 2020-01-18 2020-03-09
06-03
如果你想根据企业id对结果进行排序,可以在输出结果之前加上一行代码: ```python result = result.sort_values(by=['id']) ``` 此代码将会根据id对结果进行排序,使得每个企业的结果排在一起。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值