基于RBAC模型的数据权限控制设计

最新推荐文章于 2024-03-25 14:29:28 发布
最新推荐文章于 2024-03-25 14:29:28 发布
阅读量925 收藏 28
点赞数 24
文章标签: RBAC 数据权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whg18526080015/article/details/136220624
版权

在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。

控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。

首先让我们先看下RBAC模型。

RBAC模型

RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。

RBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一组权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色。使用RBAC可以极大地简化权限的管理。

RBAC模型还可以细分为RBAC0,RBAC1,RBAC2,RBAC3。这里我们不讨论他们之间的差异,感兴趣的同学可以自行研究,我们主要聚焦于常见的RBAC0模型上。

如下图就是一个经典RBAC0模型的数据库设计。

rbac0模型

在RBAC模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB。这种问题我们称之为“水平权限管理问题”。

数据权限

列表数据权限,主要通过数据权限控制行数据,让不同的人有不同的查看数据规则;要实现数据权限,最重要的是需要抽象出数据规则。

数据规则

比如我们系统的商机数据,需要从下面几个维度来控制数据访问权限。

  1. 销售人员只能看自己的数据;
  2. 各大区的销售经理只能看各区域的数据(安徽大区的销售经理看安徽区域的商机数据),同理也适用于某BG分管领导只能看所在BG的商机数据;
  3. 财务人员只能看金额小于一万的数据。

上面的这些维度就是数据规则。

这样数据规则的几个重点要素我们也明晰了,就是规则字段,规则表达式,规则值,上面三个场景对应的规则分别如下:

  1. 规则字段:创建人,规则表达式:= ,规则值:当前登录人
  2. 规则字段:所属大区,规则表达式:= ,规则值:安徽大区
  3. 规则字段:销售金额,规则表达式:< ,规则值:10000

数据规则规则字段配置说明:
条件表达式:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于
规则值:指定值 ( 固定值/系统上下文变量 )

关联资源、用户

光有数据规则是不够的,我们还需要把数据规则跟资源和用户进行绑定。

数据规则与资源的绑定很简单,我们只需要建立一个中间表即可,如下图所示:

关联资源与用户

这样资源就可以关联上了数据规则。

在应用设计上我们需要一个单独的数据规则管理功能,方便我们录入数据规则,然后在资源管理页面(比如商机列表)上就可以选择内置的数据规则进行资源与规则的绑定。

那么如何让不同的用户拥有不同的数据规则呢?

在RBAC模型中,用户是通过授予不同的角色来进行资源的管理,同理我们可以让角色在授予权限的时候关联上数据规则,这样最终在系统上就体现为不同的用户拥有不同的数据规则。

有点拗口,我们还是按上面的例子来说。

销售人员、大区销售经理、财务人员属于不同的角色,他们都拥有商机列表这个资源权限,但是在给这些角色绑定商机列表资源权限时我们可以勾选对应的数据规则(上面已经实现资源与数据规则的绑定)。体现在数据库设计中我们可以在角色资源对应关系表 Role_Permission中添加一个字段用于存储关联的数据规则,如果有多个数据规则可以使用分隔符分割。

最终RBAC模型演变成如下所示的模型:

按照上面的设计我们需要区分各个大区管理的数据权限则需要建立不同的大区角色,如安徽大区销售经理、上海大区销售经理,然后分别给角色勾选对应的数据规则。这里就类似于RBAC1中的角色继承的概念了。

这样我们就基本实现了RBAC与数据规则的绑定,但是我们还有个问题就是如何在系统中落地。

这里我们就要借助大名鼎鼎的AOP来实现了,这篇文章只讲原理不讲实现,所以我们只顺带提一下实现方案。

  1. 自定义一个数据权限的注解,比如叫PermissionData
  2. 在对应的资源请求方法,比如商机列表上添加自定义注解@PermissionData
  3. 利用AOP抓取到用户对应角色的所有数据规则并进行SQL拼接,最终在SQL层面实现数据过滤。

继续优化

在上面的设计中我们通过给不同角色绑定不同数据规则实现了数据权限,但是考虑下面一种场景:某角色需要看到的数据范围为 “所属大区为安徽大区且事业部为消费者事业部的商机数据”,在这种场景里按照我们之前的设计需要建立两个数据规则:

  1. 所属大区 = 安徽大区
  2. 所属事业部 = 消费者事业部

然后再建立2个不同的角色,分别授予不同的数据规则,如果这样的场景比较多的话很容易出现角色爆炸的情况,所有我们这里再抽取出 数据规则组的概念。

一个数据规则组有多个数据规则,数据规则之间通过 AND 进行连接,放一张应用设计图:

数据规则

体现在数据库设计中就变成了如下所示:

小结

通过上面8张表的设计我们实现了RBAC模型与数据权限的结合,当然这里还有继续优化的空间。比如这里的规则字段和规则值我们可以抽取出对应的字典表,让数据规则表去关联这些字典字段,这样在应用层配置数据规则的时候就不需要管理员手动填写而是从字典项中去选择了,减少了数据规则配置出错的概率。

每天攀登一点点
关注
  • 24
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于RBAC权限控制模型的后台管理系统
01-20
系统概述:   该项目主要展示 RBAC权限控制效果,并提供员工管理模块以供测试。用户登录系统后,根据用户所关联的角色,查询角色拥有的权限,如:菜单权限、按钮权限。不同角色的用户,所显示的菜单可能也不尽相同。 系统亮点: ① 系统除采用 RBAC 模型进行访问控制以外,还配合 Shiro 框架完成系统的鉴权机制,其中 RBAC 负责左侧菜单级别权限, Shiro 负责按钮级别权限。 ② 系统对于添加修改相关操作采用 Validator 完成表单参数的校验,还会对于取值唯一的数据段进行业务校验,完善业务流程。 ③ 系统应用 Hutool 工具类,配合完成数据的批量导出与导入工作。 ④ 系统使用 Lombok 框架,以简化实体对象中常用方法的构建。 ⑤ 系统设置自定义业务异常类 ,配合业务消息枚举类和业务结果包装类 ,利用全局异常处理器处理, 使业务异常的不友好界面不会展示到客户端,以此提高用户的交互体验。 技术选型: Layui、SSM、MySQL、Druid、Maven
Java语言基于RBAC模型设计权限模型
01-20
Java语言基于RBAC模型设计权限模型,麻雀虽小,五脏俱全,SpringBoot项目加mysql实例表数据,可以启动运行。 1:参考脚本建mysql数据库 2:导入脚本 3:用idea加载项目 启动项目
实现业务系统中的用户权限管理--设计篇(转自http://www.noahweb.net/mail/2/Project.htm)
热门推荐
NiuNIu's sPAcE
11-22 1万+
  B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权
RBAC用户角色权限管理模型设计(全网最全没有之一)
weixin_57909742的博客
03-25 1265
RBAC(Role-Based Access Control),即基于角色的访问控制,是一种广泛应用于信息安全领域的访问控制模型RBAC的核心思想是将系统中的用户按照其角色进行分类,然后定义不同角色具有的权限,最后指定哪些用户属于哪些角色,从而实现权限管理。
基于 RBAC 数据模型权限控制
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-28 679
Spring Security官方文档是这么介绍的:Spring Security是一个功能强大且高度可定制的身份认证和访问控制框架。我们花了十多个篇幅都是在认证授权方面,而它的另一个重要的特点就是访问控制。这一篇我们就来讲讲关于它的内容。
基于RBAC权限控制模型的管理系统的设计与实现
秀岩的博客
01-20 3785
一、RBAC 权限设计 1.1 模型概述 1.2 模型分类 二、基于RBAC的后台管理系统 2.1 项目概述 2.2 技术选型 2.3 内部处理流程 2.4 功能模块展示 2.5 权限控制展示 2.6 下载说明
RBAC模型-权限控制系统
gaogzhen的博客
12-06 782
RBAC模型-权限控制系统 ...
基于数据库的RBAC数据模型权限控制
凉茶铺的博客
07-18 1108
RBAC权限模型(Role-BasedAccessControl)即基于角色的权限控制。用户系统接口及访问的操作者权限能够访问某接口或者做某操作的授权资格角色具有一类相同操作权限的总称某用户是什么角色?某角色具有什么权限?通过角色对应的权限推导出用户的权限判断用户是否已经登陆认证,引号内的参数必须是isAuthenticated()。sec获得当前用户的用户名,引号内的参数必须是name。sec判断当前用户是否拥有指定的权限。引号内的参数为权限的名称。sec。...
设计实战——基于RBAC的功能权限设计思考
学海无涯,行者无疆
01-09 1359
关于功能权限控制,使用RBAC可以很好地解决,网上有大量的理论性介绍,但落地过程中,仍然有一些具体的问题,需要结合自己平台或系统的规模、面向场景选择最合适的方案,从而形成最优的设计。下面我结合自己研发平台的经验,具体说一说。
基于RBAC模型的用户权限管理数据设计
记录并分享
05-27 788
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色达到与权限进行关联的目的。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。...
用户权限设计-基于RBAC模型
hudongdong2020的博客
05-15 2921
目录前言1. 什么是RBAC2. 基于RBAC的几种权限体系设计(参考) 前言 关于权限(数据 操作)的设计比较复杂, 应按各业务场景分析设计 以下讨论的是通用的部分原则 1. 什么是RBAC RBAC目前使用最为广泛的权限模型 RBAC(基于角色的权限控制模型的核心是在用户和权限之间引入了角色的概念,取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限,从而达到用户和权限解耦的目的。 **用户 -> 角色 -> 权限*
基于RBAC模型权限控制的一整套基础开发平台,前后端分离,后端django,前端 vue+ElementUI
01-01
6. 初始化数据 python3 manage.py init 7. 初始化省市县数据: python3 manage.py init_area 8. 启动项目 python3 manage.py runserver 0.0.0.0:8000 或使用 daphne : daphne -b 0.0.0.0 -p 8000 application....
基于RBAC模型的通用权限管理系统的设计(数据模型)
07-26
基于RBAC模型的通用权限管理系统的设计(数据模型)
如何基于RBAC设计模型设计权限管理系统
weixin_43800803的博客
11-19 826
如何基于RBAC设计模型设计权限管理系统 1.什么是RBAC RBAC是取自(Role-Based Access Control)四个单词首字母的缩写成的名称或者术语,意思是基于角色访问控制,它是基于角色为核心去关联权限进行访问控制的一种权限设计模型。 1.1.RBAC权限管理系统有什么关系 现在比较普遍的权限管理系统都是基于RBAC权限设计模型进行设计的,RBAC设计模型权限管理系统的一种策略,或者说权限管理系统是RBAC权限设计模型的具体实现。 1.2.什么是权限 权限是用户可以访问的资源,包括页
pd16.py11111111111
最新发布
06-02
pd16.py11111111111
u-boot-2024.07-rc3.tar.bz2
06-02
【U-Boot 2024.07源码深度解析】002 - 下载及编译 U-Boot 源码 https://blog.csdn.net/Ciellee/article/details/139381921 配套的资源
287_基于移动端选课系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
基于RBAC权限管理系统是设计分析
03-26
RBAC(Role-Based Access Control)是一种权限管理模型,它是建立在角色的基础上,将用户分配给角色,再根据角色的权限授予对应的资源访问权限。这种模型可以有效地管理大规模应用系统中的权限问题。下面是基于RBAC权限管理系统的设计分析: 1.确定系统需求:首先要确定系统的具体需求和功能,包括用户界面、权限设置和管理、角色管理、资源管理等方面。同时需要明确系统的主要目标是什么,以便在设计时保持一致性。 2.确定角色:根据系统需求,确定所需要的角色类型和数量,包括系统管理员、普通用户等。在设计时应该合理分配权限,避免角色间权限重叠或漏洞。 3.确定资源:确定系统中的资源,包括数据、程序、文档等,依据资源的重要性和保密性进行分类,在角色分配时考虑资源所属角色的权限。 4.权限授予:根据角色的不同,授予对应的资源访问权限,包括读取、修改、删除等。在授予权限时要严格按照角色的权限定义进行操作,避免数据泄漏和滥用。 5.权限审核:对所有权限的修改和删除操作进行记录和审查,定期对权限进行审核,保证系统的安全性和稳定性。 6.权限维护:系统上线后,需要对权限进行维护和更新,包括新增角色、修改权限、删除角色等操作,同时定期对系统进行安全检查和修复漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值