数据权限设计

最新推荐文章于 2024-09-19 21:52:00 发布
最新推荐文章于 2024-09-19 21:52:00 发布
阅读量97 收藏
点赞数
文章标签: 数据库 json python
原文链接:https://my.oschina.net/jimilee/blog/730710
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

【前言】

前一篇文章《通用权限管理设计 之 数据库设计方案》介绍了【主体】- 【领域】 - 【权限】( who、what、how问题原型 ) 的设计思想

本文将对这种设计思想作进一步的扩展,介绍数据权限的设计方案。

权限控制可以理解,分为这几种 :

【功能权限】:能做什么的问题,如增加产品。

【数据权限】:能看到哪些数据的问题,如查看本人的所有订单。

【字段权限】:能看到哪些信息的问题,如供应商账户,看不到角色、 部门等信息。

上面提到的那种设计就是【功能权限】,这种设计有一定的局限性,对于主体,只能明确地指定。对于不明确的,在这里可能就没办法处理。比如下面这几种情况:

数据仅当前部门及上级可见

数据仅当前用户(本人)可见

【初步分析】

【数据权限】是在【功能权限】的基础上面进一步的扩展,比如可以查看订单属于【功能权限】的范围,但是可以查看哪些订单就是【数据权限】的工作了。 在设计中,我们规定好如果没有设置了数据权限规则,那么视为允许查看全部的数据。

 几个概念
【资源】:数据权限的控制对象,业务系统中的各种资源。比如订单单据、销售单等。属于上面提到的中的一种
【主体】:用户、部门、角色等。
【条件规则】:用于检索数据的条件定义
【数据规则】:用于【数据权限】的条件规则

应用场景

1,订单,可以由本人查看

2,销售单,可以由本人或上级领导查看

3,销售单,销售人员可以查看自己的,销售经理只查看 销售金额大于100,000的。

我们能想到直接的方法,在访问数据的入口加入SQL Where条件来实现,组织sql语句:

1,where UserID = {CurrentUserID}

2,where UserID = {CurrentUserID}  or {CurrentUserID} in (领导)

3,where UserID = {CurrentUserID}  or ({CurrentUserID} in (销售经理)  and 销售金额 > 100000)

这些一个一个的"条件",本文简单理解为一个【数据规则】,通常会与原来我们前台的业务过滤条件合并再检索出数据。

这是一种最直接的实现方式,在【资源】上面加一个【数据规则】(比如上面的三点)。这样设计就是 【资源】 - 【数据规则】 我又觉得不同的人应该对应不同的规则,那么也可以理解为,一个用户对应不同的角色,每一个角色有不一样的【数据规则】,那么设计就变成【资源】 - 【主体】 - 【数据规则】 根据提供者的不同,准备不同的权限应对策略。 这里可以简单地介绍一下,这个方案至少需要2张表,一个是 【资源,主体,规则关系表】、一个是【数据规则表】

关系表不能直接保存角色,因为你不确定什么时候业务需要按照【部门】或者【分公司】来定义数据规则

于是可以用  Master、MasterKey  类似这样的两个字段来确定一个【主体】

用XML方式的话是这样配置的(放在数据库也类似,XML格式定义如下:

<?xml version="1.0" encoding="utf-8"?>
<settings>
  <rule view="订单" role="销售人员">
      销售员 = {CurrentUserID}
  </rule>
  <rule view="订单" role="总销售经理">
     销售金额 > 100000
  </rule>
  <rule view="订单" role="区域销售经理">
    销售金额 > 100000  and 区域 = {当前用户所属区域}
  </rule>
</settings>

对于这种方式有兴趣的朋友也可以试一下,两种方式的【数据规则】是一样的,但是本文没有采用第二种设计方式,因为它多了一层处理逻辑,我以为应该设计越简单越好,就采用第一种方式: 【资源】 - 【数据规则】 当然,上面是用SQL的方式来确定条件规则的,我们当然不会这么做。SQL虽然灵活,但是我们很难去维护,也不知道SQL在我们的界面UI上面如何体现。难不成直接用一个文本框来显示。这样对应一个开发人员来说不是问题,可是对应系统管理员,很容易出问题。所以我们需要有另一方式来确定这一规则,并最终可以转换成我们的SQL语句。

我们的设计关键在于如何规范好这些【数据规则】 ,这个规则必须是对前端友好的,而且是对后台友好的,JSON显然是很好的方式。

 规则说明:
1,数据权限规则总是:{属性 条件 允许值}
2,数据权限规则可以合并。比如 ( {当前用户 属于 销售人员} and {订单销售员 等于  当前用户} )   Or {当前用户  属于 销售经理}
3,最终我们会用JSON格式

在检索数据时会先判断有没有注册了某某【资源】的【条件规则】,如果有,那么加载这个【条件规则】并合并到我们前台的【搜索条件】(你的业务界面应该有一个搜索框吧)

如下图定义了客户信息的搜索框,我们搜索客户ID包括AN,我们组织成的规则将会是:

{"rules":[{"field":"CustomerID","op":"like","value":"AN","type":"string"}],"op":"and"}

为了更好地理解【数据规则】,这里介绍一下【通用查询机制】 权限控制总离不开一些条件的限制(比如查看当前部门的单据),如果没有完善的通用查询规则机制,那么在做权限条件过滤的时候你会觉得很别扭。这里介绍一个通用查询方案,然后再介绍如何实现【数据规则】。 【数据权限规则】

【实际应用】

【结语】

转载于:https://my.oschina.net/jimilee/blog/730710

weixin_33676492
关注
java 项目通用数据权限设计
学海无涯,我用JAVA
05-15 1543
权限一般分为操作权限数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
数据权限设计思路_权限设计数据权限
Turn X7
06-22 1万+
任何一个系统中,都离不开权限设计 权限设计 = 功能权限 + 数据权限+字段权限 【功能权限】:能做什么的问题。如查询、增删改信息【数据权限】:能看到哪些数据的问题。如查看本人、部门团队、区域或者整个公司、甚至整个系统的数据【字段权限】:能看到哪些信息的问题。如联系人姓名,但是不能查看到联系人地址、联系人电话这样的 1.功能权限设计 常常是基于RBAC(Role-Based Access Control)的一套设计方案 2.数据权限设计 2.1数据权限设计分析 ...
通用数据权限的思考与设计
weixin_30256901的博客
10-12 386
1 数据权限概述 1.1 什么是数据权限数据权限是指对系统用户进行数据资源可见性的控制,通俗的解释就是:`符合某条件的用户只能看到该条件下对应的数据资源`。那么最简单的数据权限大概就是:用户只能看到自己的数据。而在正式的系统环境中,会有很多更为复杂的数据权限需求场景,如: 领导需要看到所有下属员工的客户数据,员工只能看自己的客户数据; 经理A能看到所有企业客户,经理B只能看到年销售...
通用权限管理设计数据权限
weixin_30764771的博客
03-20 1474
阅读目录 前言 初步分析 通用查询机制 数据权限规则 实际应用 结语 前言 前一篇文章《通用权限管理设计数据库设计方案》介绍了【主体】- 【领域】 - 【权限】( who、what、how问题原型 ) 的设计思想 本文将对这种设计思想作进一步的扩展,介绍数据权限设计方案。 权限控制可以理解,分为这几种 : 【功能权限】:能做什么的问题,...
通用数据权限设计方案
weixin_43914798的博客
08-10 4747
一、数据权限设计初衷 近期在做数据中台的项目,主要包括元数据管理,质量规则,数据服务,数据导出等多个业务模块,目前该中台只是供内部使用,但随着业务的正式上线,必然会在公网进行访问。因此,如何控制每个用户只能访问自己能够看到的数据内容至关重要,这就存在用户数据权限设计问题。 二、数据权限设计方案条件 (1)满足不同的业务授权方式统一化,通用且方便扩展; (2)与业务模块完全解耦,减少代码的侵入,提高权限系统的复用性; (3)业务方不需要关心授权流程及授权资源回显问题。要保证不同的资源类型,在授权时,能够自
CRM-数据权限设计
weixin_39855223的博客
07-06 2690
CRM-数据权限数据权限概念1.数据权限使用方式分类2.数据权限设置支持的权限3.数据权限模型4.数据权限场景描述5.数据权限配置解决方案6.数据权限的功能支持列表6.7数据权限使用规范 数据权限概念 对企业应用的各种档案及单据数据进行权限控制,对特定的用户或角色按指定的规则授权使用及维护。 1.数据权限使用方式分类 维护权(修改、删除等) 使用权(查看) 2.数据权限设置支持的权限 2.1...
java多级部门数据权限设计_数据权限设计(转载)
weixin_39681621的博客
02-26 5047
一、前言几乎在任何一个系统中,都离不开权限设计权限设计 = 功能权限 + 数据权限,而功能权限,在业界常常是基于RBAC(Role-Based Access Control)的一套方案。而数据权限,则根据不同的业务场景,则权限却不尽相同,应该根据具体的场景巧妙设计; 且必须在项目开始时进行设计,不像功能权限一样,在项目结束的时候在追加。注:更细还可以加入字段权限1.1 权限类型【功能权限】:能...
数据权限设计,集成前端页面,后台数据结构
07-18
在IT行业中,数据权限设计是构建安全、高效系统的关键环节,尤其在企业级应用中尤为重要。数据权限设计涉及用户对数据的访问、修改和管理能力,确保数据的安全性,同时提供个性化的用户体验。这里我们将深入探讨这个...
数据权限设计研究-行数据权限
热门推荐
qq_38846242的博客
01-17 1万+
数据权限设计研究-行数据权限关于权限设计功能权限数据权限前提数据分类几种场景设计方案与思路映射表提供过滤sql的方法测试实际应用查询新增修改删除修改数据的私有,公开,部门属性私有改为部门私有改为公开部门改为公开其他变更总结 关于权限设计 一般来说,权限模块对于每一个系统而言都是最基础的模块,根据项目需求和功能的不同,设计方案也有许多。但从大的方面来说,可以将权限分为两大类型:功能权限数据权限 功...
4.网络编程
weixin_45476535的博客
09-14 577
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
Redis的Key的过期策略是怎样实现的?
daydayup
09-19 400
在学习Redis时,我们知道可以设置Key的过期时间,我们还知道,Redis一大特点–。那么当Redis中的数据量起来时,如果直接遍历所有的Key,那么对于Key过期时间的校验应该很费时间,那么Redis究竟是怎样做的呢?本文就来探讨关于Redis中的Key的过期册策略。Redis中的过期策略有两种。
阿里1688一面总结
weixin_44804108的博客
09-19 152
发布-订阅模式,即当实验发生变更时,就发出一个变更事件,然后,每台机器感知到这个变更事件后,清空本地缓存,触发reload操作。为了避免大量请求打到DB,可以对查询请求进行加锁,保证相同的实验只有一个线程去查,然后更新到缓存中,其他的请求,走缓存查询结果。运维团队将扩缩容事件投递在kafka中,容量平台起一个线程去订阅变更事件,当有事件时,更新公共缓存中的数据。kafka单broker的消息是可以保证顺序性的,但是kafka集群的消息实际是无序的。首先,面试官进行对业务进行介绍,然后,候选人进行自我介绍。
MySQL数据库
kyrie_jie的博客
09-19 2094
1、计算机的资源有限,不可能把数据全部存储在内存中,且内存掉电后数据会丢失,为了能让程序在关机重启后继续使用,必须把数据保存到磁盘的文件中。2、随着程序的功能越来越复杂、数据量越来越大,从文件中读写数据需要大量的重复性操作,从文件中读取出指定的数据需要复杂的逻辑。3、不同的程序它的访问文件的操作不同,就意味着读写文件的代码无法复用。4、所以程序员非常需要一个统一的快速的访问磁盘数据的工具。
基于SpringBoot的考研资讯平台设计与实现
linzhongshu的专栏
09-13 981
对于本次的系统开发来看,它主要是把我以前所学的知识进行了一次综合的应用。经过这次毕业设计的制作它主要是把我以前所学的理论知识应用到社会实践当中。通过这一次的考研资讯平台的设计与实现它能够有效把计算机知识与实际问题相互应用,通过计算机网络技术来解决学生生活当中的实际问题,从而提高我的编程能力。虽然在这次毕业设计当中我遇到了很多的问题和困难,但是通过不断的调试和老师的帮助让我圆满的完成了这次毕业设计
Spring 事务与 MySQL 事务:深度解析与实战指南
最新发布
果酱 の 博客
09-19 874
事务是一个逻辑工作单元,它包含了一组数据库操作,这些操作要么全部成功执行,要么全部回滚,以保证数据的一致性和完整性。例如,在银行转账系统中,从一个账户转出资金并转入另一个账户的操作就应该在一个事务中进行,以确保资金的正确转移,不会出现部分操作成功而部分操作失败的情况。Spring 事务与 MySQL 事务的结合为企业级应用开发提供了强大的事务管理功能。
PHP在现代Web开发中的高效应用与最佳实践
运维人生
09-13 1192
我们将使用Laravel框架来构建一个简单的博客系统,该系统包括文章发布、编辑、查看和评论等功能。PHP作为一门成熟且强大的服务器端脚本语言,在现代Web开发中依然扮演着重要角色。通过遵循最佳实践、利用现代PHP版本的特性和成熟的框架与组件,开发者可以高效构建出稳定、安全、可扩展的Web应用。本文通过一个简单的博客系统案例,展示了PHP在实际项目中的应用方法和技巧,希望能为PHP开发者提供一些有益的参考和启发。
JAVA 数据权限设计
05-24
在Java应用程序中,数据权限设计通常涉及到以下几个方面: 1. 访问控制列表(ACL):ACL是指一组规则,用于确定哪些用户或组可以访问特定的数据。在Java中,可以使用Spring Security等框架来实现ACL。 2. 角色授权:角色授权是指将用户分配到不同的角色,每个角色都有不同的权限。在Java中,可以使用Spring Security等框架来实现角色授权。 3. 数据过滤:数据过滤是指根据用户的权限,从数据库中查询出用户有权限访问的数据。在Java中,可以使用Hibernate等框架来实现数据过滤。 4. 数据加密:数据加密是指对敏感数据进行加密,以保护数据的安全性。在Java中,可以使用Jasypt等框架来实现数据加密。 需要注意的是,数据权限设计需要考虑到系统的实际情况和安全性需求,不能简单地根据一些通用的规则去实现。同时,也需要对数据权限进行测试和验证,以确保系统能够正常运行并保护数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值