权限在日常办公系统中算是一个比较常见的基本功能,对于存在有权限模块的系统中规定了登录用户能够操作哪些资源,不能够操作哪些资源。借助权限模块可以有效的控制参与到系统不同身份人员要具体做的操作,可以说一个成熟的后端系统离不开一个比较完善的权限管理系统。
美女wx:lezijie007 (暗号 66)
RBAC模型(Role-Based Access Control:基于角色的访问控制)模型是比较早期提出的权限实现模型,在多用户计算机时期该思想即被提出,其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有代表,并得到了普遍的公认。
RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为True的求解过程,也即是将权限问题转换为Who、What、How的问题,Who、What、How构成了访问权限三元组,具体的理论可以参考RBAC96。
在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限,它们之间的关系如下图所示
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dFTOPyj6-1599119910354)(https://imgkr.cn-bj.ufileos.com/361aa5f7-30ff-4a9d-b212-232b1dbb0810.png)]
User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限Permission(权限):访问权限用户-角色映射:用户和角色之间的映射关系角色-权限映射:角色和权限之间的映射例如下图,管理员和普通用户被授予不同的权限,普通用户只能去修改和查看个人信息,而不能创建用户和冻结用户,而管理员由于被授予所有权限,所以可以做所有操作。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9ZxeIaRV-1599119910365)(https://imgkr.cn-bj.ufileos.com/f1616af4-49ca-4df2-92ce-25692d920131.png)]
RBAC0是基础,很多产品只需基于RBAC0就可以搭建权限模型了。在这个模型中,我们把权限赋予角色,再把角色赋予用户。用户和角色,角色和权限都是多对多的关系。用户拥有的权限等于他所有的角色持有权限之和。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lxU0Zl9B-1599119910366)(https://imgkr.cn-bj.ufileos.com/f1a4d061-77d3-479f-9d44-8718ad5b8a94.png)]
举个栗子:
譬如我们做一款企业管理产品,如果按传统权限模型,给每一个用户赋予权限则会非常麻烦,并且做不到批量修改用户权限。这时候,可以抽象出几个角色,譬如销售经理、财务经理、市场经理等,然后把权限分配给这些角色,再把角色赋予用户。这样无论是分配权限还是以后的修改权限,只需要修改用户和角色的关系,或角色和权限的关系即可,更加灵活方便。此外,如果一个用户有多个角色,譬如王先生既负责销售部也负责市场部,那么可以给王先生赋予两个角色,即销售经理、市场经理,这样他就拥有这两个角色的所有权限。
RBAC1建立在RBAC0基础之上,在角色中引入了继承的概念。简单理解就是,给角色可以分成几个等级,每个等级权限不同,从而实现更细粒度的权限管理。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q0ZDd0Qc-1599119910369)(https://imgkr.cn-bj.ufileos.com/ece7b895-9ce9-4ec8-bb2d-2c6a792acf47.png)]
举个栗子:
基于之前RBAC0的例子,我们又发现一个公司的销售经理可能是分几个等级的,譬如除了销售经理,还有销售副经理,而销售副经理只有销售经理的部分权限。这时候,我们就可以采用RBAC1的分级模型,把销售经理这个角色分成多个等级,给销售副经理赋予较低的等级即可。
RBAC2同样建立在RBAC0基础之上,仅是对用户、角色和权限三者之间增加了一些限制。这些限制可以分成两类,即静态职责分离SSD(Static Separation of Duty)和动态职责分离DSD(Dynamic Separation of Duty)。具体限制如下图:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jcWUDHsY-1599119910371)(https://imgkr.cn-bj.ufileos.com/9d61cf6c-bcaf-4d33-8ac1-a9d1aa5d76ab.png)]
举个栗子:
还是基于之前RBAC0的例子,我们又发现有些角色之间是需要互斥的,譬如给一个用户分配了销售经理的角色,就不能给他再赋予财务经理的角色了,否则他即可以录入合同又能自己审核合同;再譬如,有些公司对角色的升级十分看重,一个销售员要想升级到销售经理,必须先升级到销售主管,这时候就要采用先决条件限制了。
RBAC3是RBAC1和RBAC2的合集,所以RBAC3既有角色分层,也包括可以增加各种限制。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6sGUSTrV-1599119910373)(https://imgkr.cn-bj.ufileos.com/6d251da9-b3a6-40ab-b95f-d67374867de9.png)]
通过以上分析看到RBAC存在四种模型,后面三种均在RBAC0基础模型延伸而来,这里主要来考虑基础模型RBAC0表设计,有了基础表结构后在其基础之上进行升级改造即可。
用户-角色-资源实体间对应关系图分析如下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vB3igQVD-1599119910374)(https://imgkr.cn-bj.ufileos.com/a330d167-78b5-433a-b345-a8262dce6b02.png)]
这里用户与角色实体对应关系为多对多,角色与资源对应关系同样为多对多关系,所以在实体设计上用户与角色间增加用户角色实体,将多对多的对应关系拆分为一对多,同理,角色与资源多对多对应关系拆分出中间实体对象权限实体。
从上面实体对应关系分析,权限表设计分为以下基本的五张表结构:用户表(t_user),角色表(t_role),t_user_role(用户角色表),资源表(t_module),权限表(t_permission),表结构关系如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HqPc6QDJ-1599119910375)(https://imgkr.cn-bj.ufileos.com/a92de347-5234-40f5-9a87-71dfda0853b3.png)]
t_user用户表字段字段类型字段限制字段描述主键idint(11)自增主键iduser_namevarchar(20)非空用户名user_pwdvarchar(100)非空用户密码true_namevarchar(20)可空真实姓名emailvarchar(30)可空邮箱phonevarchar(20)可空电话is_validint(4)可空有效状态create_datedatetime可空创建时间update_datedatetime可空更新时间 t_role角色表字段字段类型字段限制字段描述主键idint(11)自增主键idrole_namevarchar(20)非空角色名role_remarkervarchar(100)可空角色备注is_validint(4)可空有效状态create_datedatetime可空创建时间update_datedatetime可空更新时间 t_user_role用户角色表字段字段类型字段限制字段描述主键idint(11)自增主键iduser_idint(4)非空用户idrole_idint(4)角色id角色idcreate_datedatetime可空创建时间update_datedatetime可空更新时间 t_module资源表字段字段类型字段限制字段描述主键idint(11)自增资源idmodule_namevarchar(20)可空资源名module_stylevarchar(100)可空资源样式urlvarchar(20)可空资源url地址parent_idint(11)非空上级资源idparent_opt_valuevarchar(20)非空上级资源权限码gradeint(11)非空层级opt_valuevarchar(30)可空权限码ordersint(11)非空排序号is_validint(4)可空有效状态create_datedatetime可空创建时间update_datedatetime可空更新时间 t_permission权限表字段字段类型字段限制字段描述主键idint(11)自增主键idrole_idint(11)非空角色idmodule_idint(11)非空资源idacl_valuevarchar(20)非空权限码create_datedatetime可空创建时间update_datedatetime可空更新时间从表结构设计可以看出:这里有三张主表(t_user,t_role,t_module),功能实现上这里划分为三大模块:
用户基本信息维护
用户角色分配
基于RBAC模型,还可以适当延展,使其更适合我们的产品。譬如增加用户组概念,直接给用户组分配角色,再把用户加入用户组。这样用户除了拥有自身的权限外,还拥有了所属用户组的所有权限。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6SRK1zTl-1599119910377)(https://imgkr.cn-bj.ufileos.com/c115fb92-665d-4f4f-8e77-965a2fe9706f.png)]
举个栗子:
譬如,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角色,使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角色权限。 有自身的权限外,还拥有了所属用户组的所有权限。
[外链图片转存中…(img-6SRK1zTl-1599119910377)]
举个栗子:
譬如,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角色,使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角色权限。