rbac权限管理设计_B端系统的权限管理设计

最新推荐文章于 2024-07-26 07:52:44 发布
最新推荐文章于 2024-07-26 07:52:44 发布
阅读量368 收藏
点赞数
文章标签: rbac权限管理设计 赋予all_objects写权限
写这篇文章的缘由是,自己在搭建B端系统中设计权限管理时在网上查找了一些资料,发现大部分的文档是写给技术同学的。因此想写一篇产品视角的权限管理设计,便是下面这篇B端权限管理设计。

一,前情

杨堃老师在《决胜B端》一书中讲到,B端产品的细节设计包括界面设计、报表设计、数据埋点设计、权限设计等。将权限设计看作B端产品经理的基本功之一。目前使用较广泛的权限管理是RBAC方案,RBAC(Role-Based Access Control)基于角色的访问控制,是由莱威·桑度(Ravi Sandhu)等人在前人的理论基础上,于1996年提出的。又被称为RBAC96。

权限管理是解决系统中“谁可以看见什么并允许进行哪些操作”的问题。试想一个系统中所有员工都可以审批打款,都可见公司的营收,那还要领导做什么?老板还安不安心?但从产品的视角考虑,一个系统的权限管理搭建到什么程度才是最优解?对此,个人倾向于当系统的用户是十几个人时,直接为每个用户赋予权限即可;当系统的用户在几十到百人,直接管理个人权限会很繁琐,这时使用角色来批量管理权限会方便很多;而当系统的用户达到几百上千人甚至更多时,会频繁地有员工入职、离职,这时为了方便管理可以配置权限组,为某个部门、某种岗位的员工入职后默认开启某个角色。

二,RBAC模型

RBAC模型包含四种模型:RBAC0、RBAC1、RBAC2、RBAC3。其中RBAC0是基础,RBAC1、RBAC2是在RBAC0的基础上做了扩展。而RBAC3 = RBAC1 + RBAC2。

2.1 RBAC0

在RBAC0模型中,抽象出三个基本概念:用户、角色和权限,并通过

1. 定义角色的权限;

2. 给用户授权角色;

来控制用户的权限,实现了用户和权限在逻辑分离,方便权限的管理。其中,

a. 用户与角色、角色与权限之间均为多对多的关系。

35a5895b16e32e15089c85d69733fc8c.png

b. 权限可以拆分为四类:

  1. 页面访问:eg, 财务同学不需要看到运营同学的操作页面;
  2. 按钮操作:eg, 运营同学可以创建/查看客户资料,但审核通过只能由运营主管操作;
  3. 字段权限:eg, 在eHR中员工的身份证号码、薪资等敏感数据,只能展示给特定的角色;
  4. 数据范围:eg, 区域采购员,他只能查看所在分公司的数据,而不能查看总公司数据;

在产品设计时,我们要考虑到为角色设置这四方面权限的能力。

1cce0329bdb6eaad6992ba3b342bab41.png

2.2 RBAC1

考虑这样一个场景,某系统的地区负责人有此地区人员管理的权限,那么他在为本地员工分配权限时可以分配总公司管理员这一角色吗?答案当然是不行的。在RBAC0的模型中,这个问题不太好解决。为此,RBAC1在RBAC0基础上引入角色之间的上下级关系。使角色有了分组和分级,这样地区管理员在为本地员工分配角色时只能分配自身角色或者是自身角色的子角色,避免系统中权限的泛滥。

380d25992cda2c421ca1b6dfbe7dd304.png

2.3 RBAC2

RBAC2是在RBAC0模型的基础上做了角色的约束控制,增加了责任分离关系,包括静态责任分离和动态责任分离。主要包括以下约束:

  1. 互斥角色: 同一用户只能分配到一组互斥角色集合中至多一个角色。比如财务部员工不能同时被分配会计和审核员两个角色;
  2. 基数约束: 一个角色被分配的用户数量受限;一个用户可拥有的角色数目受限;
  3. 先决条件角色: 用户想获得某上级角色,必须先获得其下一级的角色;

我在实际的系统设计中没用到过RBAC2,复制过来供大家参考。

2.4 权限组

在网上能查到的资料中对权限组的解释不统一,有的只是角色的另一个称呼。但在这里,我期望的权限组是系统自动为同一类用户赋予相同的角色。例如,某在线教育公司的辅导部有几千名的辅导老师,其中约一千人是兼职,流动频繁,若仅用角色管理,辅导部的管理者每天会花费不少时间在为新人分配角色上,做低效无用功。这种场景下就可以配置一个权限组,指定辅导部下的辅导老师在成功入职,人力系统推送该员工过来后自动开启辅导老师角色。这样,大多数人的权限将由系统默认配置,管理员只需要处理个例或异常情况。

cd3cf5ec2edfbfa5c6f5d70ef3794be4.png

三,产品设计

fbbce88dabae56e2d3c366936aeda096.png
  1. 在角色管理中,因为角色有了上下层级关系,所以使用了树结构;
  2. 这里需要系统在初始化时就默认一个管理员,新建角色只能是这个角色的子角色。

032a5226b0ed4e29d8aa72f805998612.png
  1. 在角色配置详情页,配置角色的四种权限,菜单权限、操作权限、字段权限、数据权限;
  2. 角色有了继承关系,因此子角色可配置的最大权限是父角色所拥有的权限;
  3. 此外,字段权限还可在细化为,不可见、仅可见、可编辑;
  4. 数据范围权限可根据业务背景做灵活设计。

da4893f1f418c9c07cdb7affcc7def7b.png

在权限组管理上,我们为指定部门的指定职位配置角色,这里的部门和职位可以是多对多的;

四,后话

以上就是RBAC模型核心思想的简单介绍和应用,我们在实际设计产品中可根据业务模式或需求做灵活变动,如当用户角色相同但要求看到的数据差别很大时,可以将数据权限放到用户管理上设置等。另一方面,在做实际需求时也要更多地考虑边界情况和逆向流程,如:角色有子角色时是否允许删除?权限组删除对用户权限的影响等。

weixin_39597636
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RBAC权限系统设计
zhujason9107的博客
06-17 5656
最近看了很多关于权限管理系统的产品设计的文章(RBAC模型,Role-Based Access Control 基于角色的访问控制),总结下自己认识的权限系统。 一、RBAC模型解释 先来look下图, 图意:通过角色关联用户,角色关联权限的方式间接赋予用户各种权限。 用户:指使用此系统的所有人员 角色权限的集合。 用户与角色之间是多对多的关系:1个用户可以允许拥有多...
rbac数据库设计 mysql_rbac数据库设计
weixin_36361600的博客
02-03 334
1rbac数据库设计RBAC基于资源的访问控制(Resource-Based Access Control)是以资源为中心进行访问控制分享牛原创,分享牛系列,分享牛。rbac用户角色权限资源表如何设计呢?下面开始表的设计RBAC表结构。1.1用户表CREATE TABLE `sys_user` (`id` varchar(36) NOT NULL COMMENT '主键',`usercode...
Django Web开发:构建强大RBAC权限管理系统的实战指南
啊猪是的读来过倒的博客
07-26 1201
随着软件系统的日益复杂,权限管理成为确保系统安全与数据隐私的关键。传统ACL模型虽基础但受限,而RBAC模型以其灵活性和高效性逐渐成为主流。本文将简要回顾ACL概念,并深入解析RBAC的核心机制,包括角色定义、权限分配及用户角色关联。同时,将详细阐述RBAC在实际项目中的操作实践,如配置角色资源、动态获取用户权限及前端页面权限控制等。
PowerDesigner_数据库设计_通用的RBAC权限系统
12-31 1022
通用的RBAC权限系统 本文只介绍权限系统的设计,暂不涉及PowerDesigner工具的使用,网上有很多这里不再多做介绍. 1. 简单的介绍下RBAC     基于角色权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限角色相关联,用户通过成为适当角色的成员而得到这些角色权限。这就极...
B端系统角色权限界面设计,一文读懂。
2401_82943878的博客
05-31 769
角色权限系统是一种用于管理和控制用户在系统中的访问和操作权限的机制。它通过将用户分配到不同的角色,并为每个角色分配相应的权限,来实现对系统资源的权限控制和管理。在角色权限系统中,通常会定义多个角色,每个角色代表一组用户,具有相似的权限需求和操作范围。每个角色赋予一组权限,这些权限决定了用户在系统中可以执行的操作和访问的资源。通过将用户分配到适当的角色,系统可以限制用户的权限范围,确保用户只能访问和操作其所需的资源。
权限系统设计详解(一):RBAC 基于角色的访问控制
路多辛的所思所想
01-31 1634
RBAC(Role-Based Access Control,基于角色的访问控制)是一种被广泛使用的权限管理模型,用于控制用户对系统资源的访问权限。通过将权限角色相关联,然后将角色分配给用户,从而实现更灵活、更易于管理的安全策略。
权限系统设计学习总结(1)——多租户的RBAC权限管理
热门推荐
科技D人生
09-06 1万+
一、公司(Company)   公司包含了体系结构集合与用户集合。 公司可以存在上下级关系,这种关系仅限于展现形式,公司与公司之间没有权限继承,也就是说在授权管理中公司之间全部是扁平关系。公司的属性有以下内容: 属性 类型 公司编码 字符串 公司名称 字符串 上级公司 公司 在上级公司下的排序 数字 下级公司 公司列表 下属体系结构 ...
权限系统设计RBAC模型
lonelymanontheway的博客
08-21 2542
模型:ACL、DAC、MAC、ABAC、RBACRBAC模型的广泛应用与问题。
【产品设计】B端产品之权限设计RBAC权限模型)
自学吧
01-23 1320
RBAC是Role-BasedAccess Control的英文缩,意思是基于角色的访问控制。RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What进行How的操作,也就是“主体”对“客体”的操作。其中who是权限的拥有者或主体(例如:User、Role),what是资源或对象(Resource、Class)。
【产品设计】B端权限规则模型:RBAC模型
自学吧
01-17 183
导读:B端项目上,需要设计实现一个权限管理模块,就要知道到一个很重要的RBAC模型,所以整理总结了RBAC的一些知识。目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这篇文章主要是介绍基于RBAC权限管理系统,将会从RBAC是什么、如何设计RBAC两部分来介绍。 一、RBAC模型是什么? 1. RBAC模型概述 RBAC模型(Role-Based Access Control:基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,但其实在.
RBAC权限管理
Java领域
07-06 9349
本博文会着重介绍一下RBAC的相关内容。BAC是Role-Based Access Control的缩,含义为基于角色的访问控制模型,此模型是20世纪90年代在美国第十五届全国计算机安全大会上提出的,后逐步被业界广泛使用,至2004年形成了ANSI/INCITS标准。时至今日,RBAC访问控制模型已经渗入IT领域的多个方面,有传统技术方面的操作系统、数据库、中间件Web服务器,有新兴技术方面的Kubernetes、Puppet、OpenStack等。
基于经典领域驱动设计权限管理系统 .zip
01-11
用户应用系统的具体操作者,我这里设计用户是可以直接给用户分配菜单/按钮,也可以通过角色分配权限角色为了对许多拥有相似权限的用户进行分类管理,定义了角色的概念,以上所有的权限资源都可以分配给角色,...
论文研究-基于RBAC权限管理设计与实现 .pdf
08-14
基于RBAC权限管理设计与实现,韩志强,,对于B/S的企业应用系统,权限管理不仅是开放重复率很高的模块,而且还是系统难点。建立规范的访问控制模型是企业应用中实现权限
 扩展的RBAC权限管理模型的设计与研究
01-30
对传统RBAC访问控制模型进行扩展,提出了基于导航树页面的RBAC模型,有效避免了传统RBAC模型应用到B/S系统时的角色权限冗余。根据大多数电子政务系统对用户与角色数据的读取操作较更新操作频繁的特点,选择LDAP...
基于SpringCloud2022、SpringBoot3.1、OAuth2的RBAC权限管理系统.rar
01-25
该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:Vue/JSP/React/HTML+JS+CSS/ASP 后台框架代码:java/c/c++/...
jisuanji.zip_上机管理系统_机房管理_机房管理系统
09-14
机房管理系统可能基于Web应用架构,采用B/S(浏览器/服务器)模式,使用如Java、Python或.NET等后端开发语言,配合数据库管理系统(如MySQL、Oracle)存储数据。前端界面可能使用HTML、CSS和JavaScript实现,以提供...
【SCI顶级】金豺算法GJO-CNN-LSTM-Multihead-Attention温度预测【含源码 5741期】.zip
最新发布
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
2023睿抗机器人开发者大赛.zip
07-30
毕业设计是高等教育阶段学生完成学业的一个重要环节,通常在学士或硕士学业即将结束时进行。这是学生将在整个学业中所学知识和技能应用到实际问题上的机会,旨在检验学生是否能够独立思考、解决问题,并展示其专业能力的一项综合性任务。 毕业设计的主要特点包括: 独立性: 毕业设计要求学生具备独立思考和解决问题的能力。学生需要选择一个合适的课题,研究相关文献,进行实地调查或实验,并提出独立见解。 实践性: 毕业设计是将理论知识应用到实际问题中的一次实践。通过完成毕业设计,学生能够将所学的专业知识转化为实际的解决方案,加深对专业领域的理解。 综合性: 毕业设计往往要求学生运用多个学科的知识,综合各种技能。这有助于培养学生的综合素养,提高他们的综合能力。 导师指导: 学生在毕业设计过程中通常由一名指导老师或导师团队提供指导和支持。导师负责引导学生确定研究方向、制定计划、提供建议,并在整个过程中监督进展。 学术规范: 毕业设计要求学生按照学术规范完成研究,包括文献综述、研究设计、数据采集与分析、结论和讨论等环节。学生需要撰一篇完整的毕业论文,并进行答辩。
【JCR一区级】飞蛾扑火算法MFO-CNN-LSTM-Attention故障诊断分类预测【含源码 5668期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
Java B/S系统权限设计与实现
本文将详细介绍如何设计一个适用于大多数B/S业务系统的权限管理系统。 需求陈述: 1. 差异化权限:根据用户角色的不同,分配不同的操作权限。例如,管理员可能拥有所有权限,而普通用户只能访问特定功能。 2. 组...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值