本文探讨在RBAC模型基础上实现数据权限控制,解决水平权限管理问题。介绍了数据规则的定义,包括销售人员、销售经理和财务人员的权限示例,并阐述如何通过角色关联数据规则,实现不同用户的数据权限差异。最后提出了AOP实现数据过滤的优化方案和数据规则组的概念,以应对更复杂的场景。
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。
控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。
首先让我们先看下RBAC模型。
RBAC模型
RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。
RBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一组权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色。使用RBAC可以极大地简化权限的管理。
RBAC模型还可以细分为RBAC0,RBAC1,RBAC2,RBAC3。这里我们不讨论他们之间的差异,感兴趣的同学可以自行研究,我们主要聚焦于常见的RBAC0模型上。
如下图就是一个经典RBAC0模型的数据库设计。
在RBAC模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB。这种问题我们称之为“水平权限管理问题”。
数据权限
列表数据权限,主要通过数据权限控制行数据,让不同的人有不同的查看数据规则;要实现数据权限,最重要的是需要抽象出数据规则。
数据规则
比如我们系统的商机数据,需要从下面几个维度来控制数据访问权限。
最低0.47元/天 解锁文章
扫一扫
1800
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
