企业级权限系统设计概要

最新推荐文章于 2023-11-22 17:29:14 发布
最新推荐文章于 2023-11-22 17:29:14 发布
阅读量227 收藏
点赞数
分类专栏: 系统设计 文章标签: 运维 架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55413092/article/details/124992079
版权

Permission Management System 权限系统设计概要

1. 系统设计概览

  • RBAC 系统
    • 基于角色控制,更规范
    • 注册内容:用户,角色,功能权限(服务/实体 + 操作)
  • ABAC 系统
    • 基于属性控制,更灵活
    • 注册内容:用户,操作属性,规则

2. Rules 设计原则

2.1 RBAC 系统(角色视角)

  • 默认角色:超级管理员、租户/项目管理员、普通用户(非管理员性质)
    • 管理员:平台/租户/项目内的最大权限,包含所有服务模块、全部资源范围
    • 普通用户:平台/租户/项目内的查看权限(非敏感操作),包含所有服务模块、全部资源范围
  • 自定义角色(非管理员)
    • 由自定义策略集合定义其可操作的服务模块、资源范围
  • 标签说明
    • 用户:超级管理员(is superuser)、管理员(is admin)
    • 角色:系统默认性质(is fixed)、管理性质(is admin)、非管理性质(is member)
    • 注:以上标签属于敏感信息,默认不允许在任何 API 接口中传输;如特殊情况下必须传输,不以明文形式传输。

2.2 权限控制

数据权限:ABAC 系统
  • 防止水平越权:相同权限的不同租户/项目内用户,无法越权访问、创建、删除、设置其他租户/项目内的角色。
功能权限:RBAC 系统
  • 防止垂直越权:不同权限的相同租户/项目内用户,无法通过除关联级别外的涉及其他权限的鉴权。

2.3 应用场景示例:工单系统

  • 仅功能权限
    • RBAC 设计:超级管理员、租户/项目管理员、普通用户、自定义角色
平台/租户/项目用户角色操作内容
平台超级管理员超级管理员查看、管理工单查看、管理全体租户/项目内的全体工单
平台用户j普通用户查看工单查看全体租户/项目内的全体工单
平台用户k自定义角色查看、管理工单查看、自定义操作全体租户/项目内的全体工单
租户/项目A管理员租户/项目管理员查看、管理工单查看、管理租户/项目 A 内的全体工单
租户/项目A用户m普通用户查看工单查看租户/项目 A 内的全体工单
租户/项目A用户n自定义角色查看、管理工单查看、自定义操作租户/项目 A 内的全体工单
  • 功能权限 + 数据权限
    • RBAC 设计:超级管理员、租户/项目管理员、普通用户、自定义角色
    • ABAC 设计:租户/项目、用户、自定义实体属性
平台/租户/项目用户角色操作内容
平台超级管理员超级管理员查看、管理工单查看、管理全体租户/项目内的全体工单
平台用户a普通用户查看工单查看用户a名下的全体工单
平台用户b自定义角色查看、管理工单查看、自定义操作用户b名下的全体工单
租户/项目A管理员租户/项目管理员查看、管理工单查看、管理租户/项目 A 内的全体工单
租户/项目A用户m普通用户查看工单查看租户/项目 A 内、用户m名下的全体工单
租户/项目A用户n自定义角色查看、管理工单查看、自定义操作租户/项目 A 内、用户n名下的全体工单
纽约码农
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
企业管理系统可视化权限功能设计
qq_38461437的博客
01-10 2870
信息系统的开发,权限是绕不过的部分,一个优秀的企业系统必然需要搭配合理的权限管理,以保证业务的顺利进行。 所谓权限管理,一般是根据系统设置的安全规则或者安全策略,使用户在整个系统资源下只能访问自己被授权的资源,这样可以在保证数据安全的同时提高系统的使用效率。 常用权限--数据 企业一些重要的资料,比如财务数据,并不需要让员工知晓,这个时候就需要使用“数据权限”给员工授权,授权之后,相关数据就可以只给特定的员工查看。 常用权限--功能 和数据权限同样的道理,不同岗位的员工需要不同的功能权限
企业应用 权限设计_统一身份管理中的权限管理设计
weixin_31623707的博客
01-12 463
关注嘉为科技,获取运维新知权限集中管理是统一身份管理关注的主要内容之一,由于企业应用建设的自身历程不同,权限设计与实现也必然存在差异,针对集中权限管理设计和实现带来了不小的挑战,本文根据多年的实践经验,就统一身份管理的集中权限管理设计与实现给予设计建议。一 问题背景随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多,为此,为减少用户访问的麻烦,提升访问的便利性和体验,众多企业采用...
企业应用的权限系统设计
Kettle实战
02-25 1034
  各种企业应用开发系统大到企业ERP,小到一张报表,通常都会涉及到权限的问题。 一般理解的系统权限大致包括,登录权限,然后是菜单的权限,功能的权限,数据的权限。 登录权限,判断用户是否有权力登录系统的过程通常称之为认证。菜单、功能、数据等权限都是对某种资源的访问控制,这部分我们通常称之为授权。 这样的话,其实权限系统包含了两大部份: 1、认证; 2、授权; 下面我们再针对这两类详细讨论一下。 ...
企业网站权限设计实现:概述
yinsc的专栏
03-22 1226
做了较长时间的企业网站,在权限管理方面总是不太顺手,没有形成太好的思路,偶尔看了《电脑编程技巧与维护》2007/2期是的一篇文章《权限管理设计方法》,很受启发,终于将我多年的对权限管理设计的思路给理清了。该文章没有给出完整的代码,对于实现方式也存在各种不同方法,于是决定自己做一套试试,经过断断续续的开发、修改、升级(新技术出来太快了对我来说),现在基本有了一个比较成型的东西。自我感觉还不错,实现了
企业级权限管理系统
qingcyb的博客
07-30 503
企业级权限管理系统
权限系统概要-权限系统概要
12-18
- 在企业级应用中,权限系统主要用于管理内部员工对不同资源的访问权限,以确保敏感信息的安全。 - 在互联网服务中,权限系统用于控制用户对特定功能的访问,例如管理员可以查看所有用户的活动记录,而普通用户只能...
智慧工地综合管理平台-环境监测子系统概要设计说明书
凡夫编程
11-22 792
由于城市建设和工业化进程的加速,工地施工过程中的部分环节由于监管不到位,导致工地扬尘污染问题日益严重,对人类健康和环境质量造成了不可忽视的影响。为了解决这一问题,政府部门和相关企业逐渐意识到了建立工地扬尘监测系统的必要性和紧迫性,因此,环境监测系统是智慧工地建设中一个非常重要的子系统。通过监测工地扬尘的浓度和分布情况,可以及时采取有效的措施进行治理和防控,减少扬尘污染对环境和人体健康的危害。因此,工地扬尘监测系统的建设成为了一项重要的环境保护和公共卫生工作。
权限系统概要设计说明书
05-27
权限系统概要设计说明书】 本文档主要针对基于J2EE的Web系统中的权限管理系统进行概要设计,旨在实现一个高效、灵活且安全权限管理框架。通用权限管理系统旨在为各类应用提供统一的用户访问控制,确保不同角色...
概要设计文档1.21
08-08
服务器端采用稳定的企业级操作系统,如Linux或Windows Server,以保证系统的稳定运行。 3.2 数据库 数据库选择关系型数据库管理系统(如MySQL或Oracle),以支持大量并发操作和复杂查询,确保数据的准确性和一致性...
springboot120企业级工位管理系统_仅论文_说明文档.zip
最新发布
04-19
通过系统的需求分析、概要设计、详细设计和测试等阶段,可以全面了解该框架的设计思路和实现细节,掌握相关的开发技能。适用于具有一定编程基础和对技术有兴趣的开发者,以及大学生作为学习参考的实践项目。 系统...
企业级开发的权限管理
weixin_30596343的博客
05-05 85
企业级开发的权限管理 在各种企业级系统开发的过程中难以避免都会遇到权限处理的设计。好的权限系统不但能为系统提供安全的解决方案,同时还能节约开发时间,提高系统的可维护性。 权限需求分为两类: A、模块权限 操作功能模块的权限,或者访问菜单的权限。比如用户U有没有权利操作“发票界面”。 B、数据权限 数据权限是对访问数据范...
企业级权限系统架构设计 (v 2.0)
weixin_55413092的博客
05-26 808
企业级权限管理平台架构设计
企业应用:浅谈 “数据权限” 和 查询 API 设计
weixin_33840661的博客
10-17 311
背景 多数企业应用都需要对数据权限进行控制,如:某个用户只能看到某个范围的数据(数据行)、某个用户只能看到某几列数据(数据列)。本文以数据行级别的权限控制为范例,谈谈如何设计权限模型和查询 API。 权限模型 结合自己的项目需求,可以省略掉“数据角色”,直接让“用户”聚合“数据权限”,也可以只保留一个“角色”,让“角色”聚合“操作权限”和“数据权限”。 可扩展的数据权限模型 伪代码示...
Java开发企业级权限管理系统 视频错误
BoomMan
01-08 1953
在学习慕课实战视频中:Java开发企业级权限管理系统设计表结构时operateTime应为operate_time operateIp应为operate_ip等… 否则在其后续generator生成模型时会出现不符合驼峰命名的原则 作者的源码和视频讲解不同!! 作者的源码和视频讲解不同!! 作者的源码和视频讲解不同!! 可能是录完视频后自己改的数据库。 弄得我大晚上写博客
权限管理系统设计方案
.
08-14 4430
用户和角色,角色和权限都是多对多的关系,这种模型是最通用的权限管理模型,节省了很大的权限维护成本, 但是实际的业务千变万化,权限管理的模型也需要根据不同的业务模型适当的调整,比如一个公司内部的组织架构是分层级的,层级越高权限越大,因为层级高的人不仅要拥有自己下属拥有的权限,二期还要有一些额外的权限。这种模型能够满足权限的基本分配能力,但是随着用户数量的增长,这种模型的弊端就凸显出来了,每一个用户都需要去分配权限,非常的浪费管理员的时间和精力,并且用户和权限杂乱的对应关系会给后期带来巨大的维护成本。
文件权限定义S_IRUSR,S_IWUSR,S_IRGRP,S_IWGRP,S_IROTH,S_IWOTH
qq_43751200的博客
09-22 9858
S_IRUSR:用户读权限 S_IWUSR:用户写权限 S_IRGRP:用户组读权限 S_IWGRP:用户组写权限 S_IROTH:其他组都权限 S_IWOTH:其他组写权限
转转统一权限系统设计与实现(设计篇)
zhuanzhuantech的博客
06-16 1556
去年底转转启动建设统一权限管理系统,到今天公司大部分业务系统都已经用上了。本系列将会分为三部分来分享下转转新权限系统设计与实现。今天先分享第一部分设计篇,后续还将分享后端架构和前端架构部分。.........
RBAC模型整合数据权限
飘渺Jam的博客
03-01 4661
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资...
python数据分析之《太平洋汽车》点评数据及论坛文本分析
阿优乐扬的博客
09-28 5974
前言:这是我学数据分析以来,第一次用python进行数据分析实战,一边做,一遍看我平时做的笔记,查看别人的博客,同时也新加了很多我重来没有学过的新功能,幸不辱命,协助完成了一篇上档次的纯python毕业论文,以上所用到的数据均来自我爬取的《太平洋汽车》点评和论坛。学习编程真的是这样,如果自己不进行实战操作,永远不知道自己会遇见什么问题,也无从提升自己的能力,这是一个好的开始,简单的梳理一下自己所做的数据分析模块吧!
XX企业门户网站系统概要设计
文档的编写目的是为XX企业门户网站系统提供概要设计指南,为后续的详细设计工作奠定基础。此系统由XX企业使用,旨在提升其服务质量和效率。 2. 背景系统全称为XX企业门户网站系统设计目标是满足中小型企业的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值