Java,设计,功能权限和数据权限,用户、角色、权限和用户组

最新推荐文章于 2024-05-25 22:12:54 发布
最新推荐文章于 2024-05-25 22:12:54 发布
阅读量9.5k 收藏 40
点赞数 5
分类专栏: 后端 文章标签: java 开发语言 后端 jvm rpc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaohuodian/article/details/126570667
版权
ACL是一种访问控制机制,包含三个关键要素:用户(User)、资源(Resource)和操作(Operate),当用户请求操作资源时,检查资源的权限列表,如果资源的权限列表中存在该用户的操作权限则允许,否则拒绝。RBAC模型,三个基础组成部分:用户(User)、角色(Role)和权限(Privilege),通过定义角色的权限,授予用户某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型);...
摘要由CSDN通过智能技术生成

权限系统相关概念

ACL(Access Control List),访问控制列表

ACL是一种访问控制机制,包含三个关键要素:用户(User)、资源(Resource)和操作(Operate),当用户请求操作资源时,检查资源的权限列表,如果资源的权限列表中存在该用户的操作权限则允许,否则拒绝。

BAC(Role-Based Access Control),基于角色的访问控制

RBAC模型,三个基础组成部分:用户(User)、角色(Role)和权限(Privilege),通过定义角色的权限,授予用户某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型);

RBAC权限授权,实际上是:Who、What、How,构成了访问权限三元组,也就是:Who对What(Which)进行How的操作。

Who:权限的拥用者或主体,如:Principal、User、Group、 Role、Actor等等;

What:权限针对的对象或资源(Resource、Class);

How:具体的权限(Privilege,正向授权与负向授权);

Operator:操作,表明对What的How操作,也就是:权限(Privilege)+ 资源(Resource);

Role:角色,一定数量的权限的集合,权限分配的单位与载体,目的是隔离用户(User)和权限(Privilege)的逻辑关系;

Group:用户组,权限分配的单位与载体,权限不考虑分配给特定的用户而给组,组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限,User与Group是多对多的关系,Group可以层次化,以满足不同层级权限控制的要求。

RBAC是一种分析模型,主要分为:基本模型RBAC0(Core RBAC)、角色分层模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC);

RBAC0,是RBAC0的核心,定义了能构成RBAC控制系统的最小的元素集合,由四部分构成:用户(User)、角色(Role)、会话(Session)、许可(Pemission),RBAC1、RBAC2、RBAC3都是先后在RBAC0的基础上扩展的。

RBAC1,是RBAC角色的分层模型,在角色中引入了继承的概念,有了继承角色就有了上下级或者等级关系。

RBAC2,是RBAC的约束模型,在RBAC0基础上加入约束的概念,主要引入了:静态职责分离SSD(Static Separation of Duty)和动态职责分离DSD(Dynamic Separation of Duty)。

SSD(Static Separation of Duty)是用户和角色的指派阶段加入的,主要是对用户和角色有如下约束:

1、互斥角色:同一个用户在两个互斥角色中只能选择一个;

2、基数约束:一个用户拥有的角色是有限的,一个角色拥有的许可也是有限的;

3、先决条件约束:用户想要获得高级角色,首先必须拥有低级角色;

DSD(Dynamic Separation of Duty)是会话和角色之间的约束,可以动态的约束用户拥有的角色,如:一个用户可以拥有两个角色,但是运行时只能激活一个角色。

RBAC3,是RBAC1与RBAC2合集,既有角色分层又有约束的一种模型。

RBAC(Resource-Based Access Control),基于资源的权限管理

基于资源的权限管理,以资源为中心进行的访问控制,由于基于角色的权限访问控制,角色所对应的权限发生变化,判断逻辑就必须发生改变,可扩展性差,如果是基于资源的权限访问控制,只需要为资源分配相应的权限,直接判断用户是否拥有该权限即可,可扩展性强。

// 基于角色:
if (user.hasRole("Project Manager") || user.hasRole("Department Manager") ) {
    //显示报表按钮
} else {
    //不显示按钮
}

// 基于权限:
if (user.isPermitted("projectReport:view:123456")) {
    //显示报表按钮
} else {
    //不显示按钮
}

 其它权限模型

系统权限(System Authority)=功能权限+数据权限

系统权限设计,数据库表设计(仅供参考):

以下设计,包含了几种模型,实际应用中取其一即可~

功能权限表:

/** 功能权限 **/
CREATE TABLE `system_permission` (
	`id` BIGINT(11) NOT NULL AUTO_INCREMENT COMMENT '菜单ID' primary key,
	`name` VARCHAR(32) NOT NULL COMMENT '菜单名称',
	`permission` VARCHAR(32) NULL DEFAULT NULL COMMENT '菜单权限标识',
	`path` VARCHAR(128) NULL DEFAULT NULL COMMENT '前端URL',
	`url` VARCHAR(128) NULL DEFAULT NULL COMMENT '请求链接',
	`method` VARCHAR(32) NULL DEFAULT NULL COMMENT '请求方法',
	`parent_id` INT(11) NULL DEFAULT NULL COMMENT '父菜单ID',
	`icon` VARCHAR(32) NULL DEFAULT NULL COMMENT '图标',
	`component` VARCHAR(64)
最低0.47元/天 解锁文章
着火点
关注
  • 5
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java动态权限管理
01-16
权限管理--------------------------------------------------------------------------------
通用数据权限管理系统设计
12-10
一个通用的数据权限管理系统的设计,一个doc文档,大家看了自己研究吧~
设计一个完美的用户角色权限
最新发布
weixin_44976692的博客
05-25 2万+
设计一个完美的用户角色权限表需要考虑系统的安全性、灵活性和可扩展性。以下是一个详细的用户角色权限管理表设计方案,包含多个表结构和字段描述。
JAVA WEB项目中的功能权限数据权限设计
cyh的博客
02-01 3889
功能权限 1.介绍 每个controller接口,对应权限表一条记录。项目启动时,通过springmvc提供的类,可以获取到有权限注解的方法,从而构造权限对象,插入数据库。 2.代码 接口注解 权限初始化类 @Component @Slf4j public class FunInitConfig implements CommandLineRunner { @Autowired private BdpFuncMapper bdpFuncMapper; @Autowired
数据权限就该这么实现(设计篇)
Java技术攻略的博客
03-14 3474
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。首先让我们先看下RBAC模型。
java项目中数据权限实现思路
weixin_41532316的博客
09-28 1771
基于RBAC模型的一种数据权限的实现思路
java(springboot) mybatis 数据权限详细实现(图文)
cyy9487的博客
05-18 1万+
一、啥子是数据权限? 嗯,数据权限?有些朋友可能会问了,“嗯,数据还有权限?”.
java web实现用户权限管理
09-03
本篇文章将探讨如何在Java Web环境中实现一套用户权限管理功能,主要包括用户角色和资源的管理,以及相关的数据设计和后台实现。 首先,权限管理的核心概念包括用户(User)、角色(Role)和资源(Resource)。用户是...
java用户角色权限
06-25
这个"java用户角色权限" demo旨在提供一个基础框架,来理解用户角色权限之间的交互关系。 首先,让我们详细探讨一下这三个核心概念: 1. **用户(User)**:在系统中,用户是实际的使用者,可能是管理员、普通...
java用户角色权限设计.doc
05-29
Java用户角色权限设计中,实现业务系统中的用户权限管理是一项关键任务,特别是在B/S(Browser/Server)架构中,由于浏览器的通用性,权限控制显得尤为重要。B/S系统需要有强大的权限系统来确保只有授权用户能访问...
java用户角色权限设计.doc.doc
05-29
Java用户角色权限设计是构建B/S(Browser/Server)系统中不可或缺的一部分,它确保了系统的安全性和稳定性。在这样的系统中,权限管理的重要性尤为突出,因为浏览器作为通用客户端,任何人都可能尝试访问系统功能,...
数据权限设计思路_通用数据权限的思考与设计
weixin_39556474的博客
11-20 1229
作者:_liuxxhttp://cnblogs.com/liuyh/p/9774998.html1、数据权限概述1.1、什么是数据权限数据权限是指对系统用户进行数据资源可见性的控制,通俗的解释就是:符合某条件的用户只能看到该条件下对应的数据资源。那么最简单的数据权限大概就是:用户只能看到自己的数据。而在正式的系统环境中,会有很多更为复杂的数据权限需求场景,如:领导需要看到所有下属员工的客户数据,...
全网最全的权限系统设计方案,不接受反驳!
Java技术栈,分享最主流的Java技术
03-31 1014
本文从易到难非常详细的介绍了权限模型的设计,在工作中需要根据实际情况来定义模型,千人以内的公司使用RBAC模型是完全够用的,没有必要吧权限模型设计的过于复杂。模型的选择要根据具体情况,比如公司体量、业务类型、人员数量等。总之最适合自己公司的模型就是最好的模型,权限模式和设计模式是一样的,都是为了更好的解决问题,不要为了使用模型而使用模型。版权声明:本文为CSDN博主「苏博亚」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。1.
【转载】JAVA用户角色权限设计功能权限
青山师
04-26 3717
**实现业务系统中的用户权限管理**  B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让
设计----用户表,角色表,权限
sunshine195的博客
06-02 1万+
...
java 项目通用数据权限设计
学海无涯,我用JAVA
05-15 1155
权限一般分为操作权限数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
Java利用Mybatis进行数据权限控制
陈晨_软件五千言
06-06 9361
权限控制主要分为两块,认证(Authentication)与授权(Authorization)。认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control)。RBAC包含为下面四个要素:用户角色权限、资源。用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色权限关联,就形成了比较完整灵活的权限控制模型。 ...
巧用 MyBatis Plus 实现数据权限控制
Java笔记虾
08-18 219
前言平时开发中遇到根据当前用户角色,只能查看数据权限范围的数据需求。列表实现方案有两种,一是在开发初期就做好判断赛选,但如果这个需求是中途加的,或不希望每个接口都加一遍,就可以方案二加拦截器的方式。在mybatis执行sql前修改语句,限定where范围。当然拦截器生效后是全局性的,如何保证只对需要的接口进行拦截和转化,就可以应用注解进行识别因此具体需要哪些步骤就明确了创建注解类创建拦截器实现I...
Android用户权限设计可以写一些什么
06-08
Android用户权限设计是指在Android系统中,为应用程序提供安全机制,控制应用程序对设备资源(如照相机、联系人、位置等)的访问权限。以下是一些常见的Android用户权限设计: 1. 权限分类:Android将权限分为普通权限和危险权限两种。普通权限是指不涉及用户隐私或设备安全的权限,应用程序可以在不通过用户确认的情况下获得这些权限。而危险权限则是指可能对用户隐私或设备安全造成影响的权限,应用程序需要在运行时获得用户的授权才能使用。 2. 运行时权限:为了保护用户的隐私和安全,Android引入了运行时权限机制。当应用程序需要使用危险权限时,Android会弹出授权对话框,要求用户授权。用户可以选择允许或拒绝授权,应用程序需要根据用户的选择来执行相应的操作。 3. 权限检查:在应用程序使用权限之前,需要进行权限检查,以确保应用程序已经获得了必要的权限。如果应用程序没有获得权限,就需要向用户申请授权。 4. 权限撤销:用户可以随时撤销应用程序的权限,Android会弹出撤销授权对话框,询问用户是否撤销授权。应用程序需要根据用户的选择来执行相应的操作。 5. 权限管理:Android提供了权限管理界面,用户可以在该界面中查看和管理应用程序的权限用户可以选择禁用或启用某个权限,以保护自己的隐私和安全。 总之,Android用户权限设计是非常重要的,它可以帮助保护用户的隐私和安全,防止恶意应用程序对设备造成损害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值