大型 SaaS 系统的数据权限就应该这么设计

最新推荐文章于 2024-05-29 08:45:00 发布
最新推荐文章于 2024-05-29 08:45:00 发布
阅读量332 收藏 1
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzIxMjU5NjEwMA==&mid=2247518890&idx=1&sn=a4cbc11ae21863a17f1dbcec7dcd7187&chksm=97416e41a036e757c5754cb796752376157485eb18990674531f225785b2f4659b19639f6900&scene=126&sessionid=0
版权

toB 的系统,除了普通的权限管理之外,往往还需要数据范围权限。本文介绍一种,简单的易实现的 Saas 多租户数据范围权限系统的简单设计与实现。

权限的概述

我们一般说权限的时候是在说「功能权限和数据权限」

功能权限指用「户登陆系统后能看到什么模块,能看到哪些页面」

而数据权限指的「是用户在某个模块里能看到几条数据,能看到哪些数据」

功能权限

在企业系统中,通过配置用户的功能权限可以解决不同的人分管不同业务的需求,基于RBAC模型,RBAC(Role Based Access Control)模型,它的中文是基于角色的访问控制,主要是将功能组合成角色,再将角色分配给用户,也就是说「角色是功能的合集。」

为何要基于RBAC

企业A一共有12个功能,需要创建100个用户,这些用户中有管财务的、有管人事的、有管销售的等等。如果不引入RBAC模型,我们需要每创建一个用户就要分配一次功能,至少(每个用户只有一个功能)操作100次,如果人数增加到1000甚至10000,并且一个用户可能会有多个功能的时候,操作会非常繁琐,如图:

14d1e9aeaa80b84e3f9256b426def0b1.png
为何要基于RBAC

经过多次操作发现:分配给某些人的功能都是相同的,比如分配给A、B等10个用户的功能都是客户管理、订单管理及供应商管理这几个模块,那是不是可以把这几个功能模块打成一个包整体分给需要的用户呢?

这个包就叫做角色。由于角色和功能的对应关系相对固定,给用户分配权限的时候只分配角色即可。

1428244a1494227b1ab7a53b8409d416.png
为何要基于RBAC

总结:

  1. 解耦用户和功能,降低操作错误率;

  2. 降低功能权限分配的繁琐程度。

5ac14bba9dfba49100c8962d0ef41059.png
为何要基于RBAC

功能粒度

功能的粒度从粗到细一般分为:「模块级->页面级->接口级(接口级的功能权限指的是哪个角色能调用哪些接口)。」

从后台角度:为了系统安全,代码肯定都会实现到接口级。那我们做粒度选择的意义是什么?当然是为用户降本增效。只是粒度越粗,用户操作越简单,灵活性却越低。

用户的优先级

我们常用的优先级顺序是查看「详情>查看列表>增加、删除、编辑、其他操作按钮」

数据权限

数据权限解决的是用户能看到多少数据量和什么数据的问题,例如A和B两个用户都能看到销售模块,但A能看到320条数据,B只能看到100条数据,且A能看到的320条数据中包含着B能看到的100条数据,这些都是由数据权限决定的。

数据权限和什么有关系

数据权限一般和企业的组织架构相关,而组织架构分为树状和扁平状的(还有更复杂组织架构,此处暂不做说明)

70803fc67a1880fd0ea660b69bf9fdbf.png
数据权限和什么有关系

「数据权限主要和组织架构有关」,组织架构中树状架构较为复杂,需要统一或者分模块的定义层级间数据共享问题。

数据权限定义过程中如果出现同一结点下的【用户间层级问题(上下级)】需要回到功能权限的【角色定义】去解决。

数据权限的操作步骤

思想

「数据权限的控制是通过部门的菜单展示来实现的。」

用到数据权限的地方

  1. 用户添加时候,选择部门的下拉框

f83b7a8828fbf457166fc30b50e4c348.png
数据权限

  1. 部门管理的列表

38e28994fb0a774474d26dd54e6bbd9f.png
部门管理的列表

  1. 角色管理,新增弹框页面,选择部门的树状菜单

af57913eb8228244c68bb2f96485ef44.png
角色管理

部门管理中部门列表的数据权限

controller层加载部门列表,加载全部部门信息

b0611509a2af15f749767c168a7859b6.png
数据权限

sevice层逻辑:将当前登录用户所拥有的部门id设置成查询部门列表的where的筛选条件

c4d52f606a14f5fb771e193d9ba5c996.png
数据权限
9e2ad93c3ea125d029413d155d5de115.png
数据权限

定义一个commonDataservice层:获取用户所具有的所有部门ids

  1. 在commonDataService类中的getCurrUserDataDeptIds()方法,获取当前登录用户的部门数据ids列表

5a13b58a64d95824ff0d2982cbe41eab.png

  1. 如果当前登录用户id为超级管理员,则加载全部菜单信息,如下图所示:

d9e553b97085e1fcc32c680abbde06e6.png

  1. 如果当前登录用户id不为超级管理员,通过用户id,获取sys_role_dpet,sys_user_role这两张表进行关联(「已拥有制定部门的权利且未占用」),获取该登录用户所属的部门id

026f6fdca387f3ba3f32f1996b476bbd.png
数据权限

  1. 数据权限用户已经分配且已经拥有的部门(「已拥有制定部门的权利且已占用」),「作用是选择了一个一级部门,那么一级部门所包含的二级部门,三级部门等也要赋值给用户,也就是说拥有的部门下面还有子部门,那么也具有该部门以及子部门的拥有权,使用递归算法全部遍历获得。」如下图所示

f4011f41a7bc20f7203ed1b8aaec8270.png
数据权限
4323216cbce8adec09b957df0fa83165.png
数据权限
669013f273444aa3188b687f126f12d9.png
数据权限

  1. 将当前登录用户所拥有的部门id通过逗号进行拼接

7b47c952cede3633c40ff5b6470b3e0a.png
数据权限

用户新增弹框中的部门列表的数据权限

同样调用的是SysDepartController中的depart/list的方法,逻辑见2.3节

5f20f7793d26a2fc82975d2592983f8c.png
数据权限
2301be0b2381ae60f23c9ef54d2cb383.png
数据权限

角色管理中新增弹框中的部门列表的数据权限

同样调用的是SysDepartController中的depart/list的方法,逻辑见2.3节

27cca70cf13ba7966ab5f56fef46fc1a.png
数据权限
8b9ae60d4874bcca64e12b84aeb5c553.png
数据权限

操作案例

  1. 例如用户debug用户的角色为操作权限角色,分配部门为开发一部下面的测试部门

28d202ef728ad0512cbb21aa97e64727.png
数据权限

  1. 使用超级管理员,给操作权限角色分配数据权限,这里选择新分配一个开发二部下面的测试部,如下图所示:

c7d4fd45e7c802df7b6ff60f3bef6aa3.png
数据权限

  1. 使用debug用户登录查询

af0ad3e76cd8fc750ae4c71b237d3f71.png
用户登录查询

关于数据范围权限的设计与实现,你有什么好的方案?欢迎留言评论!

来源:blog.csdn.net/u011066470

 
 
 
 
往期推荐:
这套开源系统太牛了!仅需一分钟,安装部署一套自己的 SAAS 云建站平台!

我用ChatGPT 生成一个Spring Boot博客项目,一点代码都没写

一个注解实现 WebSocket 集群方案,这样玩才爽!

SpringBoot 中的自带工具类,开发效率增加一倍!

SpringBoot + 一个注解,轻松实现 Redis 分布式锁

Mybatis-Plus 开发提速器:mybatis-plus-generator-ui

SpringBoot 多数据源及事务解决方案
 
 
222252b41973eb062ab7483e92e9f16a.png
 


                

        

        

    




    

      

        

            

              
                
                  程序员闪充宝
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
大型Saas系统权限体系设计(一)

				
			

			

				

					顽刀3j%es(3Qm$d1
				

				

					04-29
					
					1703
					
				

			

		

		

			
				
在2B系统开发中,权限体系设计是绕不开的问题。最简单的当然是RBAC模型,只要通过用户、角色、权限几个有限的概念,就可以建立起一套基本可用的权限体系。再复杂一点,可以增加角色的层级概念,使得角色的配置更高效。但现实工作中,权限控制的需求往往更复杂,不仅涉及到功能授权,也涉及到数据授权,有些系统甚至涉及到更细的数据颗粒度授权,这个时候RBAC模型就显示出诸多的不足。如何设计一套简单高效的权限体系,使得能够满足各种从简单到复杂的场景的应用,是产品经理和系统架构师需要用心的基础工作。

			
		

	



                

              
                



	

		

			

				
					
知识产权与标准化

				
			

			

				

					骚戴的博客
				

				

					10-24
					
					834
					
				

			

		

		

			
				
知识产权与标准化

			
		

	



                


  
              

                


	

		

			

				
					
SaaS 应用之权限管理设计

					
最新发布

				
			

			

				

					CherryXieのblog
				

				

					05-29
					
					494
					
				

			

		

		

			
				
SaaS 应用中常见的权限设计细节。

			
		

	





	

		

			

				
					
SaaS系统用户权限设计

				
			

			

				

					liudada8265的博客
				

				

					03-25
					
					220
					
				

			

		

		

			
				
1、系统需求平台管理员只能管理租户的账号和相关信息,不能操作租户的内部业务。各租户拥有自己的角色和权限,相互不能影响。不同租户的数据、服务在物理上共享,而在逻辑上完全隔离,对于每个租户来说这个系统好像只为自己服务。为了确保系统数据的安全性,使用户能放心地将商业数据放在系统上使用,SaaS系统权限管理在系统设计中成为尤为重要的一环。2、RBAC权限模型访问控制是针对越权使用资源的防御措施,目的是为...

			
		

	



		

			
		



	

		

			

				
					
大型SaaS系统数据范围权限设计与实现

				
			

			

				

					程序员闪充宝
				

				

					03-14
					
					788
					
				

			

		

		

			
				
大家好,我是宝哥!toB 的系统,除了普通的权限管理之外,往往还需要数据范围权限。本文介绍一种,简单的易实现的 Saas 多租户数据范围权限系统的简单设计与实现。权限的概述我们一般说权限的时候是在说「功能权限数据权限」。功能权限指用「户登陆系统后能看到什么模块,能看到哪些页面」,而数据权限指的「是用户在某个模块里能看到几条数据,能看到哪些数据」。功能权限在企业系统中,通过配置用户的功能权限可以解...

			
		

	





	

		

			

				
					
权限系统设计学习总结(4)—— SaaS 平台多租户模式下权限设计

				
			

			

				

					科技D人生
				

				

					12-31
					
					7132
					
				

			

		

		

			
				
一、RBAC模型

1.1、概念

权限设计最常见的就是基于 RBAC 模型。而 RBAC 模型又有 RBAC0、RBAC1、RBAC2、RBAC3 等几种常见的模式。RBAC(Role-Based Access Control) 基于角色的访问控制的设计思想。作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。RBAC 中有4个比较关键的元素:用户 – 角色 – 权限 – 资源。

1.2、 RBAC 支持

			
		

	





	

		

			

				
					
小易信息SaaS门店管理系统.zip

				
			

			

				

					03-04
				

			

		

		

			
				
系统设计与开发的过程中,开发者可能采用了Java作为主要的编程语言。Java因其跨平台性、稳定性和丰富的库支持,常常被用于构建大型、分布式的企业级应用,尤其适合开发SaaS系统。在"freelycar_saas-master"这个...

			
		

	





	

		

			

				
					
SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建.zip

				
			

			

				

					08-05
				

			

		

		

			
				
在IT毕业设计中,我们经常会遇到构建一个具备权限管理功能的系统,这通常涉及到基于角色的权限访问控制(Role-Based Access Control,简称RBAC)。在这个项目中,我们将使用SpringBoot框架与Apache Shiro库来实现...

			
		

	





	

		

			

				
					
毕业设计 计算机专业-Java 信息办公凯撒java版SaaS OA协同办公软件 v2.0-saas-oa

				
			

			

				

					04-08
				

			

		

		

			
				
【标题】"毕业设计 计算机专业-Java 信息办公凯撒java版SaaS OA协同办公软件 v2.0-saas-oa"揭示了这个项目的核心内容,即一个基于Java技术的协同办公系统,名为“凯撒”,专为信息办公而设计,实现了SaaS(Software ...

			
		

	





	

		

			

				
					
基于Vue2+Element UI实现,支持RBAC动态权限数据权限SaaS多租户、Flowable工作流、三方登录、等功能

				
			

			

				

					04-04
				

			

		

		

			
				
通过Vue2和Element UI的前端技术,配合后端的RBAC权限管理、数据权限控制、SaaS多租户架构以及工作流引擎,实现了对业务流程的精细化管理。此外,还包括了三方登录、支付、短信等实用功能,以及商城、CRM和ERP等企业...

			
		

	





	

		

			

				
					
毕业设计论文-IT计算机-[信息办公]凯撒java版SaaS OA协同办公软件 v2.0_saas-oa-源码.zip

				
			

			

				

					04-02
				

			

		

		

			
				
5. **分布式与云计算**:作为SaaS应用,该系统可能部署在云环境中,利用负载均衡、分布式缓存(如Redis)以及消息队列(如RabbitMQ)来处理高并发和大数据量的场景。  6. **微服务架构**:随着业务复杂性的增加,...

			
		

	





	

		

			

				
					
Saas架构和权限设计

				
			

			

				

					08-01
				

			

		

		

			
				
干货分享,强烈推荐!基于多租户的Saas架构和权限系统设计

			
		

	





	

		

			

				
					
Saas多租户数据结构设计

				
			

			

				

					08-01
				

			

		

		

			
				
干货分享!Saas架构如何针对确保安全性、创建可扩展数据模型以及数据基础结构的可扩展性等方面进行设计,本文给出答案!

			
		

	





	

		

			

				
					
今天来聊一聊大型SaaS系统数据范围权限设计与实现.

				
			

			

				

					2301_76936922的博客
				

				

					04-15
					
					393
					
				

			

		

		

			
				
如果是基于请求头携带租户信息的情况,那么在使用中可能会遇到一个坑,如果当使用多线程的时候,新开启的异步线程并不会自动携带当前线程的Request请求。上面这两种方式实现的功能相同,但是如果需要过滤的SQL语句很多,那么第二种方式配置起来会比较麻烦,因此建议通过注解的方式进行过滤。我们可以修改复制Bean语句,手动忽略租户id字段,这里使用的是hutool的BeanUtil工具类,可以添加忽略字段。那么,有的小伙伴可能要问了,在业务中并不是所有的查询都需要过滤租户条件啊,针对这种情况,有两种方式来进行处理。

			
		

	





	

		

			

				
					
【面试】如何设计SaaS产品的数据权限

				
			

			

				

					DreamSun的博客
				

				

					04-13
					
					1152
					
				

			

		

		

			
				
一套系统权限可以分为两类,数据权限和功能权限,今天我们从以下几个点,细聊下如何设计数据权限。总的来说,数据权限授权分为三个方面,业务对象范围授权、业务对象操作授权和业务对象字段授权。为了实现这三个方式的授权,我们在产品设计上需要支持业务对象范围的划分、业务对象操作的定义和业务对象字段的定义,如下图所示。之后,我们就可以配置某个角色或人员的数据权限了。数据权限SaaS产品必不可少的功能。

			
		

	





	

		

			

				
					
数据权限就该这么实现(实践篇),yyds!

				
			

			

				

					飘渺Jam的博客
				

				

					08-04
					
					2599
					
				

			

		

		

			
				
我的知识星球正式上线了(戳链接),期待你的加入,我们一起冲冲冲!大家好,在上一篇文章中我们详细介绍了在RBAC模型中如何集成数据权限,本篇文章我们将通过实际案例,从代码实战的角度来实现这样的一个数据权限。在开始阅读本文之前,建议先把上篇文章 读一遍,读一遍,读一遍!数据权限就该这么设计,yyds!数据权限模型上篇文章的数据模型是基于传统的RBAC模型来设计的,由于我们这里...

			
		

	





	

		

			

				
					
基于RBAC 的SAAS系统权限设计

				
			

			

				

					PEXUE的专栏
				

				

					06-23
					
					510
					
				

			

		

		

			
				
为什么系统需要权限控制?生活中有没有权限限制?灾难片电影《2012》中富人和权贵有权登上诺亚方舟,穷苦老百姓只有等着灾难的来临;屌丝身边为什么没有那些长得漂亮、身材好的姑娘存在?因为有钱人和漂亮姑娘都是珍贵稀有的,稀有的人在一起玩耍。而普通人往往无权拥有他们所拥有的权限权限管理的本质web程序通过 url 的切换查看不同的页面(功能),所以权限管理指的其实就是URL管理,对url控制就是对权限的控制。因此,一个人有多少个权限取决于他可以访问多少个URL。RBAC是什么?RBAC(Role-Based Ac

			
		

	





	

		

			

				
					
SaaS用户管理系统模型设计

					
热门推荐

				
			

			

				

					hot_summery的专栏
				

				

					06-22
					
					2万+
					
				

			

		

		

			
				
最近一直在研究关于SaaS化的用户管理系统,现将项目中的模型做一整理,先贴图:租户/组织、部门、员工 完成的是对整个组织结构及结构中人员分布的管理;系统用户(包括登陆账号)、权限包、角色、功能权限、功能、菜单分类、数据权限数据权限操作 完成的是对 系统操作的管理;其中有许多需要理解的地方,比如:权限包和角色都是对功能权限数据权限的打包,但一个是面向租户的,而一个是面向用户的;另外要说明的是,数...

			
		

	





	

		

			

				
					
SaaS系统用户权限设计讲解

				
			

			

				

					weixin_34353714的博客
				

				

					11-01
					
					2726
					
				

			

		

		

			
				
随着云计算的发展,越来越多企业产品业务向软件服务平台转型。其中系统权限设计是十分关键和重要的部分,本文以O2O业务为例讲解SaaS系统权限设计。
1、系统需求
平台管理员只能管理租户的账号和相关信息,不能操作租户的内部业务。各租户拥有自己的角色和权限,相互不能影响。不同租户的数据、服务在物理上共享,而在逻辑上完全隔离,对于每个租户来说这个系统好像只为自...

			
		

	





	

		

			

				
					
Saas系统权限表怎么设计

				
			

			

				

					09-12
				

			

		

		

			
				
综上所述,设计Saas系统权限表需要考虑用户角色、功能模块划分、操作权限级别以及数据权限等方面,以满足系统的功能需求并确保安全性和灵活性。   ### 回答3: 设计SaaS系统权限表是一个关键的工作,它需要考虑...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值