数据权限就该这么实现(设计篇)

最新推荐文章于 2024-05-15 14:40:02 发布
最新推荐文章于 2024-05-15 14:40:02 发布
阅读量1.3k 收藏 24
点赞数 28
文章标签: 权限设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42907150/article/details/135764817
版权

数据权限就该这么实现(设计篇)

在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。

控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。

首先让我们先看下RBAC模型。

RBAC模型

RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。

RBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一组权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色。使用RBAC可以极大地简化权限的管理。

RBAC模型还可以细分为RBAC0,RBAC1,RBAC2,RBAC3。这里我们不讨论他们之间的差异,感兴趣的同学可以自行研究,我们主要聚焦于常见的RBAC0模型上。

如下图就是一个经典RBAC0模型的数据库设计。

image.png

在RBAC模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB。这种问题我们称之为“水平权限管理问题”。

数据权限

列表数据权限,主要通过数据权限控制行数据,让不同的人有不同的查看数据规则;要实现数据权限,最重要的是需要抽象出数据规则。

数据规则

比如我们系统的商机数据,需要从下面几个维度来控制数据访问权限。

  1. 销售人员只能看自己的数据;
  2. 各大区的销售经理只能看各区域的数据(安徽大区的销售经理看安徽区域的商机数据),同理也适用于某BG分管领导只能看所在BG的商机数据;
  3. 财务人员只能看金额小于一万的数据。

上面的这些维度就是数据规则。

这样数据规则的几个重点要素我们也明晰了,就是规则字段规则表达式规则值,上面三个场景对应的规则分别如下:

  1. 规则字段:创建人,规则表达式: = ,规则值:当前登录人
  2. 规则字段:所属大区,规则表达式: = ,规则值:安徽大区
  3. 规则字段:销售金额,规则表达式: < ,规则值:10000

image.png

scss复制代码规则字段配置说明: 
条件表达式:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于
规则值:指定值 ( 固定值/系统上下文变量 )

关联资源、用户

光有数据规则是不够的,我们还需要把数据规则跟资源和用户进行绑定。

数据规则与资源的绑定很简单,我们只需要建立一个中间表即可,如下图所示:

image.png

这样资源就可以关联上了数据规则。

在应用设计上我们需要一个单独的数据规则管理功能,方便我们录入数据规则,然后在资源管理页面(比如商机列表)上就可以选择内置的数据规则进行资源与规则的绑定。

那么如何让不同的用户拥有不同的数据规则呢?

在RBAC模型中,用户是通过授予不同的角色来进行资源的管理,同理我们可以让角色在授予权限的时候关联上数据规则,这样最终在系统上就体现为不同的用户拥有不同的数据规则。

有点拗口,我们还是按上面的例子来说。

销售人员、大区销售经理、财务人员属于不同的角色,他们都拥有商机列表这个资源权限,但是在给这些角色绑定商机列表资源权限时我们可以勾选对应的数据规则(上面已经实现资源与数据规则的绑定)。体现在数据库设计中我们可以在角色资源对应关系表 Role_Permission中添加一个字段用于存储关联的数据规则,如果有多个数据规则可以使用分隔符分割。

最终RBAC模型演变成如下所示的模型:

image.png

按照上面的设计我们需要区分各个大区管理的数据权限则需要建立不同的大区角色,如安徽大区销售经理、上海大区销售经理,然后分别给角色勾选对应的数据规则。这里就类似于RBAC1中的角色继承的概念了。

这样我们就基本实现了RBAC与数据规则的绑定,但是我们还有个问题就是如何在系统中落地。

这里我们就要借助大名鼎鼎的AOP来实现了,这篇文章只讲原理不讲实现,所以我们只顺带提一下实现方案。

  1. 自定义一个数据权限的注解,比如叫PermissionData
  2. 在对应的资源请求方法,比如商机列表上添加自定义注解@PermissionData
  3. 利用AOP抓取到用户对应角色的所有数据规则并进行SQL拼接,最终在SQL层面实现数据过滤。

继续优化

在上面的设计中我们通过给不同角色绑定不同数据规则实现了数据权限,但是考虑下面一种场景:某角色需要看到的数据范围为 “所属大区为安徽大区且事业部为消费者事业部的商机数据”,在这种场景里按照我们之前的设计需要建立两个数据规则:

  1. 所属大区 = 安徽大区
  2. 所属事业部 = 消费者事业部

然后再建立2个不同的角色,分别授予不同的数据规则,如果这样的场景比较多的话很容易出现角色爆炸的情况,所有我们这里再抽取出 数据规则组 的概念。

一个数据规则组有多个数据规则,数据规则之间通过 AND 进行连接,放一张应用设计图:

image.png

体现在数据库设计中就变成了如下所示:

image.png

小结

通过上面8张表的设计我们实现了RBAC模型与数据权限的结合,当然这里还有继续优化的空间。比如这里的规则字段和规则值我们可以抽取出对应的字典表,让数据规则表去关联这些字典字段,这样在应用层配置数据规则的时候就不需要管理员手动填写而是从字典项中去选择了,减少了数据规则配置出错的概率。

数据权限是一个实现相对比较复杂的功能,这里我们选择的是在RBAC模型基础上进行扩展,如果你有更好的解决方案欢迎留言告诉我。

这篇文章 我们将通过代码的角度来实现这样一个数据权限。

Dashesand
关注
  • 28
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据权限设计
qq_40664711的博客
03-13 1万+
随着IT新技术不断完善成熟,企业数字化建设得到全面的发展,数据将成为一个创造财富的重要来源,并且越来越多地被视为一项值得重视的企业资产。未来,很多企业之间的竞争,其实也是资源和数据竞争。那么针对数据资产,如何保障它的安全性呢?数据权限管理无疑是必不可少的。数据权限数据源来控制不同的用户能够查看、使用和授权不同的数据数据(其实就是数据行列的管控),就如同筑起了一道道护城墙,为数据安全提供了保障。
数据权限实现RBAC
02-05
数据权限实现数据权限实现数据权限实现数据权限实现
通用数据权限设计思路
长河的博客
01-02 1万+
接着上个襄阳项目的需要, 目前的项目情况是,一期已经把功能权限做完了,可以对不同用户的不同权限功能做到限制,现在需要做数据权限,不同的用户看到不同的数据。 根据目前的调研情况,有两种数据级别权限设计思路,都可以实现对人员访问的数据权限控制,从而实现不同的人员能够看到不同的数据,例如经理能够看到其部门下所有人的数据,而单个的员工只能看到自己的数据。用户拥有的权限越大,能看到的数据就越多。 第一...
【REST2SQL】14 基于角色的数据权限设计实现
最新发布
REST2SQL ,JSON2WEB
05-15 681
数据权限设计兼顾了灵活与通用。 - 支持一个用户多角色,多角色都关联同一数据对象时,用户的数据权限是多个角色数据权限的并集。比如一个用户 user1 分配了2个角色 role1 和 role2,则user1 可以查阅 role1 和 role2 所有数据。 - 根据角色的功能权限自动获取相关数据对象(视图或),并在角色上定义数据权限约束 Where条件。
数据权限就该这么实现(实践),yyds!
飘渺Jam的博客
08-04 2546
我的知识星球正式上线了(戳链接),期待你的加入,我们一起冲冲冲!大家好,在上一文章中我们详细介绍了在RBAC模型中如何集成数据权限,本文章我们将通过实际案例,从代码实战的角度来实现这样的一个数据权限。在开始阅读本文之前,建议先把上文章 读一遍,读一遍,读一遍!数据权限就该这么设计,yyds!数据权限模型上文章的数据模型是基于传统的RBAC模型来设计的,由于我们这里...
数据权限设计(转载)
热门推荐
uzong
01-01 2万+
一、前言 几乎在任何一个系统中,都离不开权限设计权限设计 = 功能权限 + 数据权限,而功能权限,在业界常常是基于RBAC(Role-Based Access Control)的一套方案。而数据权限,则根据不同的业务场景,则权限却不尽相同,应该根据具体的场景巧妙设计; 且必须在项目开始时进行设计,不像功能权限一样,在项目结束的时候在追加。 注:更细还可以加入字段权限 1.1 权限...
数据设计1:用户权限管理
何哥的博客
08-30 4279
前言:权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。 1、RBAC简介 RBAC(Role-Based Access Control,基于角色的访问控制),通过角色关联用户,角色关联权限,间接的赋予用户的权限。 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的
数据权限设计实现
10-19
数据库的权限设计实现 数据库的权限设计实现
数据权限简单设计思路
linhao_obj的博客
10-21 3862
数据权限
数据权限设计与思考
学海无涯,行者无疆
10-06 3148
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限数据权限又可以进一步分为行级权限和列级权限。功能权限,是指系统用户能进行哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主,以及角色-权限项对应关系和角色-用户对应关系两张辅助,一共5张库即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
关于数据权限设计
m0_68459853的博客
06-19 705
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。首先让我们先看下RBAC模型。
C#权限管理和设计浅谈
09-05
文章将探讨权限管理的一些关键概念和设计策略。 首先,权限管理的核心目标是控制用户对系统资源的访问。这通常包括数据、功能、操作等方面的访问限制。设计良好的权限管理系统应具备以下特点: 1. **灵活性**...
看图说话:架构设计分享之权限系统
02-26
今天我们就以权限系统作为切入点,谈一谈怎么设计权限系统以及怎么做到系统具有以下特性:Organized:如果系统组织比较好,可以起到事半功倍的效果。Encapsulated:对功能,结构,数据进行有效的封装,会使系统维护...
数据权限设计实现.doc
01-08
实现业务系统中的用户权限管理--设计 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问 用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器 是每一台...
java web实现用户权限管理
09-03
文章将探讨如何在Java Web环境中实现一套用户权限管理功能,主要包括用户、角色和资源的管理,以及相关的数据设计和后台实现。 首先,权限管理的核心概念包括用户(User)、角色(Role)和资源(Resource)。用户是...
Spring Security单项目权限设计过程解析
08-25
在本文章中,我们将深入探讨如何在单个项目中使用 Spring Security 进行权限设计。 首先,我们探讨为什么选择 Spring Security。Spring 已经成为 Java 开发的主流框架,SpringCloud 作为其在微服务领域的扩展,被...
4.Shiro基本设计
相互学习 共同进步
06-28 2042
Shiro五张 在Web应用中,对安全的控制主要有角色、资源、权限(什么角色能访问什么资源)几个概念,一个用户可以有多个角色,一个角色也可以访问多个资源,也就是角色可以对应多个权限 数据设计,至少需要建5张:用户、用户-角色、角色、角色-资源、资源 ①一个用户对应一个或者多个角色。 ②一个角色对应一个或者多个权限。 ③一个权限对应能够访问对应的API或URL资源。 (1)用户 用户中至少包含以上的字段,主键id、用户名username、密码password、盐值salt(因为密码
(JAVA面试2如何设计权限控制系统数据库RBAC角色访问控制
kcbuicbaiha的博客
12-27 1527
通过实施适当的访问控制模型,可以防止未经授权的访问、修改或破坏系统资源,从而保护系统的安全性。很多同学在被问到这个问题时,往往都不知道怎么回答这个问题,其实这个问题的核心就是这个RBAC。好了,看到这里大家也对RBAC应该也有一个大概的印象了,现在回到开始,你可以自信的向面试官回答出这个问题了吗?角色权限关联字段:角色id,权限id,利用外键role_id,permisson_id关联角色权限。用户定义了用户的帐号,密码,角色,比如。权限主要字段:id,权限名。角色定义了id,角色姓名。
给我写一详细的SpringBoot用户权限管理文档,包括数据设计
06-01
好的,下面是一份SpringBoot用户权限管理文档,包括数据设计。 ## 1. 项目概述 本项目是一个基于SpringBoot的用户权限管理系统,主要实现用户的注册、登录、角色管理、权限管理等功能。 ## 2. 数据设计 ### 2.1 用户 用户(user)用于存储系统中的用户信息,包括用户ID、用户名、密码、邮箱、手机号等字段。 ```sql CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `username` varchar(32) NOT NULL COMMENT '用户名', `password` varchar(64) NOT NULL COMMENT '密码', `email` varchar(64) DEFAULT NULL COMMENT '邮箱', `mobile` varchar(16) DEFAULT NULL COMMENT '手机号', `create_time` datetime NOT NULL COMMENT '创建时间', `update_time` datetime NOT NULL COMMENT '更新时间', PRIMARY KEY (`id`), UNIQUE KEY `username` (`username`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户'; ``` ### 2.2 角色 角色(role)用于存储系统中的角色信息,包括角色ID、角色名称、角色描述等字段。 ```sql CREATE TABLE `role` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '角色ID', `name` varchar(32) NOT NULL COMMENT '角色名称', `description` varchar(128) DEFAULT NULL COMMENT '角色描述', `create_time` datetime NOT NULL COMMENT '创建时间', `update_time` datetime NOT NULL COMMENT '更新时间', PRIMARY KEY (`id`), UNIQUE KEY `name` (`name`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='角色'; ``` ### 2.3 权限 权限(permission)用于存储系统中的权限信息,包括权限ID、权限名称、权限描述等字段。 ```sql CREATE TABLE `permission` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '权限ID', `name` varchar(32) NOT NULL COMMENT '权限名称', `description` varchar(128) DEFAULT NULL COMMENT '权限描述', `create_time` datetime NOT NULL COMMENT '创建时间', `update_time` datetime NOT NULL COMMENT '更新时间', PRIMARY KEY (`id`), UNIQUE KEY `name` (`name`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='权限'; ``` ### 2.4 用户角色关联 用户角色关联(user_role)用于存储系统中用户与角色之间的关系,包括用户ID、角色ID等字段。 ```sql CREATE TABLE `user_role` ( `user_id` int(11) NOT NULL COMMENT '用户ID', `role_id` int(11) NOT NULL COMMENT '角色ID', PRIMARY KEY (`user_id`,`role_id`), KEY `role_id` (`role_id`), CONSTRAINT `user_role_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `user` (`id`) ON DELETE CASCADE ON UPDATE CASCADE, CONSTRAINT `user_role_ibfk_2` FOREIGN KEY (`role_id`) REFERENCES `role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户角色关联'; ``` ### 2.5 角色权限关联 角色权限关联(role_permission)用于存储系统中角色与权限之间的关系,包括角色ID、权限ID等字段。 ```sql CREATE TABLE `role_permission` ( `role_id` int(11) NOT NULL COMMENT '角色ID', `permission_id` int(11) NOT NULL COMMENT '权限ID', PRIMARY KEY (`role_id`,`permission_id`), KEY `permission_id` (`permission_id`), CONSTRAINT `role_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE, CONSTRAINT `role_permission_ibfk_2` FOREIGN KEY (`permission_id`) REFERENCES `permission` (`id`) ON DELETE CASCADE ON UPDATE CASCADE ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='角色权限关联'; ``` ## 3. 后端开发 ### 3.1 技术栈 - SpringBoot - Spring Security - MyBatis - MySQL ### 3.2 功能模块 - 用户注册:提供用户注册功能。 - 用户登录:提供用户登录功能。 - 角色管理:提供角色的增删改查功能。 - 权限管理:提供权限的增删改查功能。 - 用户角色管理:提供用户与角色的关联管理功能。 - 角色权限管理:提供角色与权限的关联管理功能。 ### 3.3 接口设计 - 用户注册接口 ```java @PostMapping("/register") public Result register(@Valid @RequestBody UserRegisterDTO userRegisterDTO); ``` - 用户登录接口 ```java @PostMapping("/login") public Result login(@Valid @RequestBody UserLoginDTO userLoginDTO); ``` - 角色管理接口 ```java @PostMapping("/role") public Result addRole(@Valid @RequestBody RoleDTO roleDTO); @PutMapping("/role/{id}") public Result updateRole(@PathVariable Integer id, @Valid @RequestBody RoleDTO roleDTO); @GetMapping("/role/{id}") public Result getRoleById(@PathVariable Integer id); @GetMapping("/role") public Result getAllRoles(); @DeleteMapping("/role/{id}") public Result deleteRole(@PathVariable Integer id); ``` - 权限管理接口 ```java @PostMapping("/permission") public Result addPermission(@Valid @RequestBody PermissionDTO permissionDTO); @PutMapping("/permission/{id}") public Result updatePermission(@PathVariable Integer id, @Valid @RequestBody PermissionDTO permissionDTO); @GetMapping("/permission/{id}") public Result getPermissionById(@PathVariable Integer id); @GetMapping("/permission") public Result getAllPermissions(); @DeleteMapping("/permission/{id}") public Result deletePermission(@PathVariable Integer id); ``` - 用户角色管理接口 ```java @PostMapping("/user/{userId}/role/{roleId}") public Result addUserRole(@PathVariable Integer userId, @PathVariable Integer roleId); @DeleteMapping("/user/{userId}/role/{roleId}") public Result deleteUserRole(@PathVariable Integer userId, @PathVariable Integer roleId); ``` - 角色权限管理接口 ```java @PostMapping("/role/{roleId}/permission/{permissionId}") public Result addRolePermission(@PathVariable Integer roleId, @PathVariable Integer permissionId); @DeleteMapping("/role/{roleId}/permission/{permissionId}") public Result deleteRolePermission(@PathVariable Integer roleId, @PathVariable Integer permissionId); ``` ## 4. 前端开发 前端开发主要包括用户注册、登录、角色管理、权限管理、用户角色管理、角色权限管理等功能的页面设计实现。 ## 5. 总结 本文介绍了一个基于SpringBoot的用户权限管理系统的设计实现,包括数据库的设计、后端接口的设计实现、前端页面的设计实现等方面。通过本文的学习,读者可以了解到如何使用SpringBoot等技术栈来开发一个简单的权限管理系统,也可以对数据设计和后端开发有更深入的认识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值