數(shù)據(jù)設(shè)計(jì)之權(quán)限的實(shí)現(xiàn)
前言
在項(xiàng)目實(shí)際開(kāi)發(fā)中我們不光要控制一個(gè)用戶(hù)能訪問(wèn)哪些資源,還需要控制用戶(hù)只能訪問(wèn)資源中的某部分?jǐn)?shù)據(jù)。
控制一個(gè)用戶(hù)能訪問(wèn)哪些資源我們有很成熟的權(quán)限管理模型即RBAC,但是控制用戶(hù)只能訪問(wèn)某部分資源(即我們常說(shuō)的數(shù)據(jù)權(quán)限)使用RBAC模型是不夠的,本文我們嘗試在RBAC模型的基礎(chǔ)上融入數(shù)據(jù)權(quán)限的管理控制。
首先讓我們先看下RBAC模型。
RBAC模型
RBAC是Role-BasedAccess Control的英文縮寫(xiě),意思是基于角色的訪問(wèn)控制。
RBAC事先會(huì)在系統(tǒng)中定義出不同的角色,不同的角色擁有不同的權(quán)限,一個(gè)角色實(shí)際上就是一組權(quán)限的集合。而系統(tǒng)的所有用戶(hù)都會(huì)被分配到不同的角色中,一個(gè)用戶(hù)可能擁有多個(gè)角色。使用RBAC可以極大地簡(jiǎn)化權(quán)限的管理。
RBAC模型還可以細(xì)分為RBAC0,RBAC1,RBAC2,RBAC3。這里我們不討論他們之間的差異,感興趣的同學(xué)可以自行研究,我們主要聚焦于常見(jiàn)的RBAC0模型上。
如下圖就是一個(gè)經(jīng)典RBAC0模型的數(shù)據(jù)庫(kù)設(shè)計(jì)。
在RBAC模型下,系統(tǒng)只會(huì)驗(yàn)證用戶(hù)A是否屬于角色RoleX,而不會(huì)判斷用戶(hù)A是否能訪問(wèn)只屬于用戶(hù)B的數(shù)據(jù)DataB。這種問(wèn)題我們稱(chēng)之為“水平權(quán)限管理問(wèn)題”。
數(shù)據(jù)權(quán)限
列表數(shù)據(jù)權(quán)限,主要通過(guò)數(shù)據(jù)權(quán)限控制行數(shù)據(jù),讓不同的人有不同的查看數(shù)據(jù)規(guī)則;要實(shí)現(xiàn)數(shù)據(jù)權(quán)限,最重要的是需要抽象出數(shù)據(jù)規(guī)則。
數(shù)據(jù)規(guī)則
比如我們系統(tǒng)的商機(jī)數(shù)據(jù),需要從下面幾個(gè)維度來(lái)控制數(shù)據(jù)訪問(wèn)權(quán)限。
- 銷(xiāo)售人員只能看自己的數(shù)據(jù);
- 各大區(qū)的銷(xiāo)售經(jīng)理只能看各區(qū)域的數(shù)據(jù)(安徽大區(qū)的銷(xiāo)售經(jīng)理看安徽區(qū)域的商機(jī)數(shù)據(jù)),同理也適用于某BG分管領(lǐng)導(dǎo)只能看所在BG的商機(jī)數(shù)據(jù);
- 財(cái)務(wù)人員只能看金額小于一萬(wàn)的數(shù)據(jù)。
上面的這些維度就是數(shù)據(jù)規(guī)則。
這樣數(shù)據(jù)規(guī)則的幾個(gè)重點(diǎn)要素我們也明晰了,就是規(guī)則字段,規(guī)則表達(dá)式,規(guī)則值,
上面三個(gè)場(chǎng)景對(duì)應(yīng)的規(guī)則分別如下:
- 規(guī)則字段:創(chuàng)建人,規(guī)則表達(dá)式: = ,規(guī)則值:當(dāng)前登錄人
- 規(guī)則字段:所屬大區(qū),規(guī)則表達(dá)式: = ,規(guī)則值:安徽大區(qū)
- 規(guī)則字段:銷(xiāo)售金額,規(guī)則表達(dá)式: < ,規(guī)則值:10000
規(guī)則字段配置說(shuō)明:
條件表達(dá)式:大于/大于等于/小于/小于等于/等于/包含/模糊/不等于
規(guī)則值:指定值 ( 固定值/系統(tǒng)上下文變量 )
關(guān)聯(lián)資源、用戶(hù)
光有數(shù)據(jù)規(guī)則是不夠的,我們還需要把數(shù)據(jù)規(guī)則跟資源和用戶(hù)進(jìn)行綁定。
數(shù)據(jù)規(guī)則與資源的綁定很簡(jiǎn)單,我們只需要建立一個(gè)中間表即可,如下圖所示:
這樣資源就可以關(guān)聯(lián)上了數(shù)據(jù)規(guī)則。
在應(yīng)用設(shè)計(jì)上我們需要一個(gè)單獨(dú)的數(shù)據(jù)規(guī)則管理功能,方便我們錄入數(shù)據(jù)規(guī)則,然后在資源管理頁(yè)面(比如商機(jī)列表)上就可以選擇內(nèi)置的數(shù)據(jù)規(guī)則進(jìn)行資源與規(guī)則的綁定。
那么如何讓不同的用戶(hù)擁有不同的數(shù)據(jù)規(guī)則呢?
在RBAC模型中,用戶(hù)是通過(guò)授予不同的角色來(lái)進(jìn)行資源的管理,同理我們可以讓角色在授予權(quán)限的時(shí)候關(guān)聯(lián)上數(shù)據(jù)規(guī)則,這樣最終在系統(tǒng)上就體現(xiàn)為不同的用戶(hù)擁有不同的數(shù)據(jù)規(guī)則。
有點(diǎn)拗口,我們還是按上面的例子來(lái)說(shuō)。
銷(xiāo)售人員、大區(qū)銷(xiāo)售經(jīng)理、財(cái)務(wù)人員屬于不同的角色,他們都擁有商機(jī)列表這個(gè)資源權(quán)限,但是在給這些角色綁定商機(jī)列表資源權(quán)限時(shí)我們可以勾選對(duì)應(yīng)的數(shù)據(jù)規(guī)則(上面已經(jīng)實(shí)現(xiàn)資源與數(shù)據(jù)規(guī)則的綁定)。體現(xiàn)在數(shù)據(jù)庫(kù)設(shè)計(jì)中我們可以在角色資源對(duì)應(yīng)關(guān)系表 Role_Permission
中添加一個(gè)字段用于存儲(chǔ)關(guān)聯(lián)的數(shù)據(jù)規(guī)則,如果有多個(gè)數(shù)據(jù)規(guī)則可以使用分隔符分割。
最終RBAC模型演變成如下所示的模型:
按照上面的設(shè)計(jì)我們需要區(qū)分各個(gè)大區(qū)管理的數(shù)據(jù)權(quán)限則需要建立不同的大區(qū)角色,如安徽大區(qū)銷(xiāo)售經(jīng)理、上海大區(qū)銷(xiāo)售經(jīng)理,然后分別給角色勾選對(duì)應(yīng)的數(shù)據(jù)規(guī)則。這里就類(lèi)似于RBAC1中的角色繼承的概念了。
這樣我們就基本實(shí)現(xiàn)了RBAC與數(shù)據(jù)規(guī)則的綁定,但是我們還有個(gè)問(wèn)題就是如何在系統(tǒng)中落地。
這里我們就要借助大名鼎鼎的AOP來(lái)實(shí)現(xiàn)了,這篇文章只講原理不講實(shí)現(xiàn),所以我們只順帶提一下實(shí)現(xiàn)方案。
- 自定義一個(gè)數(shù)據(jù)權(quán)限的注解,比如叫
PermissionData
- 在對(duì)應(yīng)的資源請(qǐng)求方法,比如商機(jī)列表上添加自定義注解
@PermissionData
- 利用AOP抓取到用戶(hù)對(duì)應(yīng)角色的所有數(shù)據(jù)規(guī)則并進(jìn)行SQL拼接,最終在SQL層面實(shí)現(xiàn)數(shù)據(jù)過(guò)濾。
繼續(xù)優(yōu)化
在上面的設(shè)計(jì)中我們通過(guò)給不同角色綁定不同數(shù)據(jù)規(guī)則實(shí)現(xiàn)了數(shù)據(jù)權(quán)限,但是考慮下面一種場(chǎng)景:某角色需要看到的數(shù)據(jù)范圍為 “所屬大區(qū)為安徽大區(qū)且事業(yè)部為消費(fèi)者事業(yè)部的商機(jī)數(shù)據(jù)”,
在這種場(chǎng)景里按照我們之前的設(shè)計(jì)需要建立兩個(gè)數(shù)據(jù)規(guī)則:
- 所屬大區(qū) = 安徽大區(qū)
- 所屬事業(yè)部 = 消費(fèi)者事業(yè)部
然后再建立2個(gè)不同的角色,分別授予不同的數(shù)據(jù)規(guī)則,如果這樣的場(chǎng)景比較多的話很容易出現(xiàn)角色爆炸的情況,所有我們這里再抽取出 數(shù)據(jù)規(guī)則組 的概念。
一個(gè)數(shù)據(jù)規(guī)則組有多個(gè)數(shù)據(jù)規(guī)則,數(shù)據(jù)規(guī)則之間通過(guò) AND 進(jìn)行連接,放一張應(yīng)用設(shè)計(jì)圖:
體現(xiàn)在數(shù)據(jù)庫(kù)設(shè)計(jì)中就變成了如下所示:
小結(jié)
通過(guò)上面8張表的設(shè)計(jì)我們實(shí)現(xiàn)了RBAC模型與數(shù)據(jù)權(quán)限的結(jié)合,當(dāng)然這里還有繼續(xù)優(yōu)化的空間。比如這里的規(guī)則字段和規(guī)則值我們可以抽取出對(duì)應(yīng)的字典表,讓數(shù)據(jù)規(guī)則表去關(guān)聯(lián)這些字典字段,這樣在應(yīng)用層配置數(shù)據(jù)規(guī)則的時(shí)候就不需要管理員手動(dòng)填寫(xiě)而是從字典項(xiàng)中去選擇了,減少了數(shù)據(jù)規(guī)則配置出錯(cuò)的概率。
數(shù)據(jù)權(quán)限是一個(gè)實(shí)現(xiàn)相對(duì)比較復(fù)雜的功能,這里我們選擇的是在RBAC模型基礎(chǔ)上進(jìn)行擴(kuò)展,如果你有更好的解決方案歡迎留言告訴我。
到此這篇關(guān)于數(shù)據(jù)設(shè)計(jì)之權(quán)限的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)數(shù)據(jù)權(quán)限內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
什么是數(shù)據(jù)庫(kù)索引 有哪些類(lèi)型和特點(diǎn)
這篇文章主要介紹了網(wǎng)站數(shù)據(jù)庫(kù)的優(yōu)化最為基礎(chǔ)的優(yōu)化措施就是建立數(shù)據(jù)庫(kù)索引了,這里就介紹一下,什么是數(shù)據(jù)庫(kù)索引?有哪些類(lèi)型和特點(diǎn)2015-10-10MySQL與Oracle 差異比較之七用戶(hù)權(quán)限
這篇文章主要介紹了MySQL與Oracle 差異比較之七用戶(hù)權(quán)限,需要的朋友可以參考下2017-04-04ADO,OLEDB,ODBC,DAO,RDO的區(qū)別說(shuō)明
ADO,OLEDB,ODBC,DAO,RDO的區(qū)別說(shuō)明,因?yàn)槲覀冇贸绦蜷_(kāi)發(fā)的時(shí)候經(jīng)常會(huì)用到OLEDB,ODBC鏈接數(shù)據(jù)庫(kù)等2012-09-09gaussDB數(shù)據(jù)庫(kù)常用操作命令詳解
這篇文章主要介紹了gaussDB數(shù)據(jù)庫(kù)常用操作命令,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2021-08-08大數(shù)據(jù)Spark Sql中日期轉(zhuǎn)換FROM_UNIXTIME和UNIX_TIMESTAMP的使用
本文主要介紹了大數(shù)據(jù)Spark Sql中日期轉(zhuǎn)換FROM_UNIXTIME和UNIX_TIMESTAMP的使用,文中通過(guò)示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2022-02-02