數據權限就該這麼設計,yyyds!

來源公衆號:JAVA 日知錄  ID:javadaily

已獲得原公衆號的授權轉載

大家好,我是飄渺!

在項目實際開發中我們不光要控制一個用戶能訪問哪些資源,還需要控制用戶只能訪問資源中的某部分數據。

控制一個用戶能訪問哪些資源我們有很成熟的權限管理模型即 RBAC,但是控制用戶只能訪問某部分資源(即我們常說的數據權限)使用 RBAC 模型是不夠的,本文我們嘗試在 RBAC 模型的基礎上融入數據權限的管理控制。

首先讓我們先看下 RBAC 模型。

RBAC 模型

RBAC 是 Role-BasedAccess Control 的英文縮寫,意思是基於角色的訪問控制。

RBAC 事先會在系統中定義出不同的角色,不同的角色擁有不同的權限,一個角色實際上就是一組權限的集合。而系統的所有用戶都會被分配到不同的角色中,一個用戶可能擁有多個角色。使用 RBAC 可以極大地簡化權限的管理。

RBAC 模型還可以細分爲 RBAC0,RBAC1,RBAC2,RBAC3。這裏我們不討論他們之間的差異,感興趣的同學可以自行研究,我們主要聚焦於常見的 RBAC0 模型上。

如下圖就是一個經典 RBAC0 模型的數據庫設計。

rbac0 模型

在 RBAC 模型下,系統只會驗證用戶 A 是否屬於角色 RoleX,而不會判斷用戶 A 是否能訪問只屬於用戶 B 的數據 DataB。這種問題我們稱之爲 “水平權限管理問題”。

數據權限

列表數據權限,主要通過數據權限控制行數據,讓不同的人有不同的查看數據規則;要實現數據權限,最重要的是需要抽象出數據規則。

數據規則

比如我們系統的商機數據,需要從下面幾個維度來控制數據訪問權限。

  1. 銷售人員只能看自己的數據;

  2. 各大區的銷售經理只能看各區域的數據(安徽大區的銷售經理看安徽區域的商機數據),同理也適用於某 BG 分管領導只能看所在 BG 的商機數據;

  3. 財務人員只能看金額小於一萬的數據。

上面的這些維度就是數據規則。

這樣數據規則的幾個重點要素我們也明晰了,就是規則字段,規則表達式,規則值,上面三個場景對應的規則分別如下:

  1. 規則字段:創建人,規則表達式:= ,規則值:當前登錄人

  2. 規則字段:所屬大區,規則表達式:= ,規則值:安徽大區

  3. 規則字段:銷售金額,規則表達式:< ,規則值:10000

數據規則

規則字段配置說明: 
條件表達式:大於/大於等於/小於/小於等於/等於/包含/模糊/不等於
規則值:指定值 ( 固定值/系統上下文變量 )

關聯資源、用戶

光有數據規則是不夠的,我們還需要把數據規則跟資源和用戶進行綁定。

數據規則與資源的綁定很簡單,我們只需要建立一箇中間表即可,如下圖所示:

關聯資源與用戶

這樣資源就可以關聯上了數據規則。

在應用設計上我們需要一個單獨的數據規則管理功能,方便我們錄入數據規則,然後在資源管理頁面(比如商機列表)上就可以選擇內置的數據規則進行資源與規則的綁定。

那麼如何讓不同的用戶擁有不同的數據規則呢?

在 RBAC 模型中,用戶是通過授予不同的角色來進行資源的管理,同理我們可以讓角色在授予權限的時候關聯上數據規則,這樣最終在系統上就體現爲不同的用戶擁有不同的數據規則。

有點拗口,我們還是按上面的例子來說。

銷售人員、大區銷售經理、財務人員屬於不同的角色,他們都擁有商機列表這個資源權限,但是在給這些角色綁定商機列表資源權限時我們可以勾選對應的數據規則(上面已經實現資源與數據規則的綁定)。體現在數據庫設計中我們可以在角色資源對應關係表 Role_Permission中添加一個字段用於存儲關聯的數據規則,如果有多個數據規則可以使用分隔符分割。

最終 RBAC 模型演變成如下所示的模型:

按照上面的設計我們需要區分各個大區管理的數據權限則需要建立不同的大區角色,如安徽大區銷售經理、上海大區銷售經理,然後分別給角色勾選對應的數據規則。這裏就類似於 RBAC1 中的角色繼承的概念了。

這樣我們就基本實現了 RBAC 與數據規則的綁定,但是我們還有個問題就是如何在系統中落地。

這裏我們就要藉助大名鼎鼎的 AOP 來實現了,這篇文章只講原理不講實現,所以我們只順帶提一下實現方案。

  1. 自定義一個數據權限的註解,比如叫PermissionData

  2. 在對應的資源請求方法,比如商機列表上添加自定義註解@PermissionData

  3. 利用 AOP 抓取到用戶對應角色的所有數據規則並進行 SQL 拼接,最終在 SQL 層面實現數據過濾。

繼續優化

在上面的設計中我們通過給不同角色綁定不同數據規則實現了數據權限,但是考慮下面一種場景:某角色需要看到的數據範圍爲 “所屬大區爲安徽大區且事業部爲消費者事業部的商機數據”,在這種場景裏按照我們之前的設計需要建立兩個數據規則:

  1. 所屬大區 = 安徽大區

  2. 所屬事業部 = 消費者事業部

然後再建立 2 個不同的角色,分別授予不同的數據規則,如果這樣的場景比較多的話很容易出現角色爆炸的情況,所有我們這裏再抽取出 數據規則組 的概念。

一個數據規則組有多個數據規則,數據規則之間通過 AND 進行連接,放一張應用設計圖:

數據規則

體現在數據庫設計中就變成了如下所示:

模型設計

小結

通過上面 8 張表的設計我們實現了 RBAC 模型與數據權限的結合,當然這裏還有繼續優化的空間。比如這裏的規則字段和規則值我們可以抽取出對應的字典表,讓數據規則表去關聯這些字典字段,這樣在應用層配置數據規則的時候就不需要管理員手動填寫而是從字典項中去選擇了,減少了數據規則配置出錯的概率。

數據權限是一個實現相對比較複雜的功能,這裏我們選擇的是在 RBAC 模型基礎上進行擴展,如果你有更好的解決方案歡迎留言告訴我。

本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源https://mp.weixin.qq.com/s/3lvkdoSC0AkK7QmWdY9IZA

猜你喜歡