主頁 > 軟體設計 > [七年技術總結系列][理論篇]-RBAC權限模型由淺入深

[七年技術總結系列][理論篇]-RBAC權限模型由淺入深

2020-09-15 04:18:37 軟體設計

權限部分將分兩章介紹,第一章由淺入深介紹權限理論知識及應用,第二章介紹具體實作,后期再講述中間件的使用時,還會插入一些權限內容,本質上屬于中間件的應用,

權限模塊是業務系統最常見、最基本的子集,本章假定了一個系統從最初簡單的需求到逐漸成熟且完善的權限體系的實作程序,

閱讀本章預計花費20分鐘,

1. 最簡單的權限模型

業務系統初期,需求簡單,對于權限的內容本身并不復雜,我們假設權限部分僅有這樣簡單的需求:

能給用戶賦予資料的增、刪、改、查四種權限

分析此需求,權限的主體為用戶,權限的內容有多種,關系為M - M,具體為:
用戶模型:

public class User
{
    public int UserId{ get; set; }
    public string UserName { get; set; }
}

用戶表Auth_User

欄位 型別 說明
*UserId int 用戶ID
UserName varchar 用戶名
... ... ...

權限列舉:

[Flags]
public enum Permission
{
    Add = 1,
    Update = 2,
    Delete = 4,
    Select = 8
}

權限表 Auth_Permission

欄位 型別 說明
*PermissionId int 權限ID
Permission varchar 權限內容

用戶-權限關系表 Auth_UserPermission

欄位 型別 說明
*UserId int 用戶ID
*PermissionId int 權限ID

假如一個用戶有增、改兩種權限,那么關系表(Auth_UserPermission)可以存盤為:

UserId Permission
1 1
1 2

于是對于權限的基本操作我們可以進行歸納:

  • 授權:INSERT 權限表 (用戶ID,權限的具體值)
  • 校權:EXISTS 權限表 UserID==用戶ID AND Permission==要判斷權限的具體值

我們留意到對于Permission的列舉定義,值使用了對2的冪運算的值:

冪運算 十進制 二進制 十六進制
2^0 1 0001 0x01
2^1 2 0010 0x02
2^2 4 0100 0x04
2^3 8 1000 0x08

這么定義是有好處的,對于Auth_UserPermission的表存盤可以節省存盤空間,并且程式便于處理,譬如:
如果UserId=1的用戶擁有Add、Select權限,Auth_UserPermission表原本應該存盤兩條記錄:

  • (1,1)
  • (1,8)

現在,可以考慮更簡單的存盤方式

  • (1,9)

這表示:
Permission.Add | Permission.Select
等價于
1 按位或 8 ( 1 | 8 )
等價于
9

而對于權限的判斷,則使用存盤的權限值按位與要進行校權的值是否等于要進行校權的值來判斷
譬如判斷用戶是否擁有Delete權限,則使用9按位與4是否等于4來進行判斷,用C#的三目運算來表示為:

9 & 4 == 4 ? "有權限":"無權限"

這樣被標記有Flags特性的列舉在.Net框架中遍布各種基礎類別庫,譬如反射中的BindFlags列舉,本身屬于基礎知識,由于不常應用所以容易被忽視,在權限中屬于應用小技巧,還有人質疑這么存盤會有性能問題,在后面章節講到優化時,再行討論,

于是我們對使用了小技巧的新的權限基本控制再次進行歸納:

  • 授權:INSERT 權限表(用戶ID,所有擁有權限的按位或值)
  • 校權:EXISTS 權限表(UserID == 用戶ID AND Permission & 要判斷權限的具體值 == 要判斷權限的具體值)

2. 基于角色的基本權限控制

隨著業務系統的發展,業務系統有了第一次升級機會,并附帶了一個新的權限需求:

系統需要滿足一類職位的人擁有相同的權限

按照第一節的內容,這個需求其實不用做任何變化一樣可以滿足,但是問題在于負責授權的人“太累了”,對于每一個用戶,我們可能都要做一遍授權的操作,
為了解決這個問題,我們引入角色這一基本單元,角色是一種抽象,可以具體到業務場景的類似職位、身份等概念,

角色模型設計:

public class Role
{
    public int RoleId { get;set; }
    public string RoleName { get;set; }
}

角色表設計Auth_Role:

欄位 型別 說明
*RoleId int 角色ID
RoleName varchar 角色名稱

基于角色的基本權限控制的原則是:

  1. 簡化用戶權限的操作;
  2. 權限操作的物件從用戶變更為角色
  3. 不能對單一用戶做權限操作,僅對角色做權限操作,每個需要權限的用戶,都擁有至少一個角色;

角色與用戶的抽象關系表現為M-M,這表示:

  • 一個用戶可以擁有多個角色;
  • 一個角色下有多個用戶;

具體到業務可以是一個人可以有多個職位;一個職位下有多個人;
針對此設計,我們需要做以下操作:

  1. 從系統中洗掉掉原來的Auth_UserPermission關系;
  2. 新增Auth_UserRole(UserId,RoleId)的關系;
  3. 新增Auth_RolePermission(RoleId,Permission)的關系;

假定業務系統有這樣的職位串列:

RoleId RoleName
1 總裁
2 開發總監

假設用戶ID等于1001的用戶職位為總裁兼開發總監,那么關系表Auth_UserRole可以存盤為:

UserId RoleId
1001 1
1001 2

業務約定:總裁有增、刪、改、查四個權限,開發總監則有增、查兩個權限,那么關系表Auth_RolePermission可以存盤為:

RoleId Permission
1 15( = 1 | 2 | 4 | 8 )
2 9

我們對給予角色的基本權限控制操作再次歸納為:

  • 授權:給角色添加權限(INSERT Auth_RolePermission),給用戶添加角色(INSERT Auth_UserRole)
  • 校權:應當是拿出用戶所有的角色,并再次拿出這些角色的權限做并集,并DISTINCT 權限并集為權限集合,判斷權限集合是否含有需要校權的權限

3. 基于角色并含有用戶組概念的權限控制

春去秋來,業務系統迎來了第二次升級機會,并包含以下新的權限需求:

所有部門的開發崗位擁有相同的增、查權限

基于第二節的系統升級,解決此需求我們會有臨時的做法:做一個角色,給所有開發崗的同事賦予這個角色,

這樣的臨時做法的確解決了我們的問題,但這里有幾個問題,函待解決:

  1. 系統沒有部門的對應抽象;
  2. 一旦其中一個部門的開發崗同事擁有的權限有變動,我們需要新建角色,并重新授權;

針對此兩個問題,我們引入一個新的模型:用戶組(UserGroup),用戶組的概念在業務系統中,可以具體為:部門、小組、團隊等

用戶組模型設計:

public class UserGroup
{
    public int UserGroupId { get; set; }
    public int ParentId { get;set; } //留意此欄位,將在本節末尾闡述
    public string UserGroupName { get; set; }
}

用戶組表Auth_UserGroup設計:

欄位 型別 說明
*UserGroupId int 部門ID
ParentId int 上級部門ID
UserGroupName varchar 部門名稱

基于角色并含有用戶組概念的權限控制有以下特點:

  1. 再次簡化了用戶權限的操作;
  2. 用戶可以擁有角色;用戶組也可以擁有角色;
  3. 權限的操作物件依舊為角色,不可對用戶、用戶組進行權限操作;

用戶與用戶組的關系表現為多對多,這表示一個用戶可以屬于多個用戶組,一個用戶組下可以有多個用戶,具體到業務可以描述為:一個人可以在多個部門,一個部門下可以有多個人;

用戶組與角色的關系表現為多對多,這表示一個用戶組的所有用戶可以擁有相同的多個角色,一個角色下有多個用戶組,具體到業務可以描述為:同一個部門的人可以擁有多個相同的職位;

為了實作此設計,我們需要做以下新的操作:

  1. 新增Auth_UserUserGroup關系;
  2. 新增Auth_UserGroupRole關系;

假設系統擁有這樣的部門串列:

UserGroupId UserGroupName
1 總裁辦
2 前端開發部
3 中臺開發部
4 人力資源部
5 保安部

假設用戶ID為1101的用戶既是前端開發部的開發總監,又是中臺開發部的開發總監;中臺開發部、前端開發部的所有同事本質都是開發,且所有開發部的同事都有增、查的權限,那么:

用戶-用戶組Auth_UserUserGroup關系表可以存盤為:

UserId UserGroupId
1101 2
1101 3

新增角色:開發

RoleId RoleName
6 開發

Auth_RolePermission新增記錄:

RoleId Permission
6 9

Auth_UserGroupRole關系表可以存盤為:

UserGroupId RoleId
2 6
3 6

這樣,我們就滿足了本節提出的需求,
另外要注意到的是用戶組的ParentId欄位,不要輕視這個簡單的樹狀設計,實際應用中根據業務場景會有各種不同的問題,譬如不良的SQL導致DB層面做了遞回查詢、上級部門權限與下級部門權限的繼承關系,但這本質屬于業務需求,不再贅述

4. RBAC權限模型

現在,系統經過3次升級,已經有了較為完備的權限體系,我們解決了大部分問題,
但是我們也注意到,所有的有關于權限的定義僅僅圍繞著增刪改查這一類權限控制,假如系統現在需要多控制一部分權限內容,我們就有些捉襟見肘了,

簡單來說,我們的權限模型設計對于擴展支持不夠

譬如,業務系統初期對系統的選單可見性有權限控制,隨著系統迭代,可能出現對檔案的可操作性也需要有權限控制,這是很正常的事,顯然,依照我們的設計,系統無法滿足,

回顧1、2、3節的升級內容,我們的問題其實是由單一權限元素變更為多元權限元素,如果我們能重新將被控制元素變更為單一元素,我們之前的設計則不用變更,

為了解決這個問題,我們對各種權限元素進行抽象,譬如檔案訪問權限和選單訪問權限,抽象為如下圖內容:

現在,權限的Root節點變成了Permission這個抽象,它沒有具體的意義,但他將各類權限集中在了一起,使得多種權限元素重新集中在單一Permission這個抽象元素上,再次揉入到我們的系統中,如下圖:

這就是權限系統的RBAC完成模型,

至此,借助RBAC模型,我們完成了權限模塊的理論設計,它能滿足大量權限控制場景,也是業界慣用的手段,RBAC模型是一種權限模型的總結和歸納,市面上能見到的各種權限控制,都與RBAC沾邊,也就是說,掌握RBAC,就掌握了閱讀各種系統權限設計的基礎,有了理論支持,

不過值得注意的是,雖然我們有了理論基礎,但實際應用中,我們還要做一些擴展內容,

譬如說權限歷史,權限模塊屬于敏感內容,是系統的中樞所在,嚴謹的權限模塊肯定是不會對操作進行Delete的,而是Fake Delete以保留歷史,上文中這樣的設計為此提供了方便,當用戶的權限發生變更時,我們只需要對關系做Fake Delete即可,當然,關系本身需具備IsFakeDeleted屬性,

下一章節將介紹dotnet core的具體實作,

轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/42044.html

標籤:架構設計

上一篇:SpringCloud-使用路由網關的服務過濾功能-攔截登錄前是否有token為例

下一篇:聊聊面試-NoClassDefFoundError 和 ClassNotFoundException 區別

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 面試突擊第一季,第二季,第三季

    第一季必考 https://www.bilibili.com/video/BV1FE411y79Y?from=search&seid=15921726601957489746 第二季分布式 https://www.bilibili.com/video/BV13f4y127ee/?spm_id_fro ......

    uj5u.com 2020-09-10 05:35:24 more
  • 第三單元作業總結

    1.前言 這應該是本學期最后一次寫作業總結了吧。總體來說,對作業的節奏也差不多掌握了,作業做起來的效率也更高了。雖然和之前的作業一樣,作業中都要用到新的知識,但是相比之前,更加懂得了如何利用工具以及資料。雖然之間卡過殼,但總體而言,這幾次作業還算完成的比較好。 2.作業程序總結 相比前兩個單元,此單 ......

    uj5u.com 2020-09-10 05:35:41 more
  • 北航OO(2020)第四單元博客作業暨課程總結博客

    北航OO(2020)第四單元博客作業暨課程總結博客 本單元作業的架構設計 在本單元中,由于UML圖具有比較清晰的樹形結構,因此我對其中需要進行查詢操作的元素進行了包裝,在樹的父節點中存盤所有孩子的參考。考慮到性能問題,我采用了快取機制,一次查詢后盡可能快取已經遍歷過的資訊,以減少遍歷次數。 本單元我 ......

    uj5u.com 2020-09-10 05:35:48 more
  • BUAA_OO_第四單元

    一、UML決議器設計 ? 先看下題目:第四單元實作一個基于JDK 8帶有效性檢查的UML(Unified Modeling Language)類圖,順序圖,狀態圖分析器 MyUmlInteraction,實際上我們要建立一個有向圖模型,UML中的物件(元素)可能與同級元素連接,也可與低級元素相連形成 ......

    uj5u.com 2020-09-10 05:35:54 more
  • 6.1邏輯運算子

    邏輯運算子 1. && 短路與 運算式1 && 運算式2 01.運算式1為true并且運算式2也為true 整體回傳為true 02.運算式1為false,將不會執行運算式2 整體回傳為false 03.只要有一個運算式為false 整體回傳為false 2. || 短路或 運算式1 || 運算式2 ......

    uj5u.com 2020-09-10 05:35:56 more
  • BUAAOO 第四單元 & 課程總結

    1. 第四單元:StarUml檔案決議 本單元采用了圖模型決議UML。 UML檔案可以抽象為圖、子圖、邊的邏輯結構。 在實作中,圖的節點包括類、介面、屬性,子圖包括狀態圖、順序圖等。 采用了三次遍歷UML元素的方法建圖,第一遍遍歷建點,第二、三次遍歷設定屬性、連邊,實作圖物件的初始化。這里借鑒了一些 ......

    uj5u.com 2020-09-10 05:36:06 more
  • 談談我對C# 多型的理解

    面向物件三要素:封裝、繼承、多型。 封裝和繼承,這兩個比較好理解,但要理解多型的話,可就稍微有點難度了。今天,我們就來講講多型的理解。 我們應該經常會看到面試題目:請談談對多型的理解。 其實呢,多型非常簡單,就一句話:呼叫同一種方法產生了不同的結果。 具體實作方式有三種。 一、多載 多載很簡單。 p ......

    uj5u.com 2020-09-10 05:36:09 more
  • Python 資料驅動工具:DDT

    背景 python 的unittest 沒有自帶資料驅動功能。 所以如果使用unittest,同時又想使用資料驅動,那么就可以使用DDT來完成。 DDT是 “Data-Driven Tests”的縮寫。 資料:http://ddt.readthedocs.io/en/latest/ 使用方法 dd. ......

    uj5u.com 2020-09-10 05:36:13 more
  • Python里面的xlrd模塊詳解

    那我就一下面積個問題對xlrd模塊進行學習一下: 1.什么是xlrd模塊? 2.為什么使用xlrd模塊? 3.怎樣使用xlrd模塊? 1.什么是xlrd模塊? ?python操作excel主要用到xlrd和xlwt這兩個庫,即xlrd是讀excel,xlwt是寫excel的庫。 今天就先來說一下xl ......

    uj5u.com 2020-09-10 05:36:28 more
  • 當我們創建HashMap時,底層到底做了什么?

    jdk1.7中的底層實作程序(底層基于陣列+鏈表) 在我們new HashMap()時,底層創建了默認長度為16的一維陣列Entry[ ] table。當我們呼叫map.put(key1,value1)方法向HashMap里添加資料的時候: 首先,呼叫key1所在類的hashCode()計算key1 ......

    uj5u.com 2020-09-10 05:36:38 more
最新发布
  • 【中介者設計模式詳解】C/Java/JS/Go/Python/TS不同語言實作

    * 中介者模式是一種行為型設計模式,它可以用來減少類之間的直接依賴關系,
    * 將物件之間的通信封裝到一個中介者物件中,從而使得各個物件之間的關系更加松散。
    * 在中介者模式中,物件之間不再直接相互互動,而是通過中介者來中轉訊息。 ......

    uj5u.com 2023-04-20 08:20:47 more
  • 露天煤礦現場調研和交流案例分享

    他們集團的資訊化公司及研究院在一個礦區正在做智能礦山的統一平臺的 試點,專案投資大概1億,包括了礦山的各方面的內容,顯示得我們這次交流有點多余。他們2年前開始做智能礦山的規劃,有很多煤礦行業專家的加持,他們的描述是非常完美,但是去年底應該上線的平臺,現在還沒有看到影子。他們確實有很多場景需求,但是被... ......

    uj5u.com 2023-04-20 08:20:25 more
  • 《社區人員管理》實戰案例設計&個人案例分享

    設計是一個讓人夢想成真程序,開始編碼、測驗、除錯之前進行需求分析和架構設計,才能保證關鍵方面都做正確 ......

    uj5u.com 2023-04-20 08:20:17 more
  • 軟體架構生態化-多角色交付的探索實踐

    作為一個技術架構師,不僅僅要緊跟行業技術趨勢,還要結合研發團隊現狀及痛點,探索新的交付方案。在日常中,你是否遇到如下問題 “ 業務需求排期長研發是瓶頸;非研發角色感受不到研發技改提效的變化;引入ISV 團隊又擔心質量和安全,培訓周期長“等等,基于此我們探索了一種新的技術體系及交付方案來解決如上問題。 ......

    uj5u.com 2023-04-20 08:20:10 more
  • 【中介者設計模式詳解】C/Java/JS/Go/Python/TS不同語言實作

    * 中介者模式是一種行為型設計模式,它可以用來減少類之間的直接依賴關系,
    * 將物件之間的通信封裝到一個中介者物件中,從而使得各個物件之間的關系更加松散。
    * 在中介者模式中,物件之間不再直接相互互動,而是通過中介者來中轉訊息。 ......

    uj5u.com 2023-04-20 08:19:44 more
  • 露天煤礦現場調研和交流案例分享

    他們集團的資訊化公司及研究院在一個礦區正在做智能礦山的統一平臺的 試點,專案投資大概1億,包括了礦山的各方面的內容,顯示得我們這次交流有點多余。他們2年前開始做智能礦山的規劃,有很多煤礦行業專家的加持,他們的描述是非常完美,但是去年底應該上線的平臺,現在還沒有看到影子。他們確實有很多場景需求,但是被... ......

    uj5u.com 2023-04-20 08:19:07 more
  • 《社區人員管理》實戰案例設計&個人案例分享

    設計是一個讓人夢想成真程序,開始編碼、測驗、除錯之前進行需求分析和架構設計,才能保證關鍵方面都做正確 ......

    uj5u.com 2023-04-20 08:18:57 more
  • 軟體架構生態化-多角色交付的探索實踐

    作為一個技術架構師,不僅僅要緊跟行業技術趨勢,還要結合研發團隊現狀及痛點,探索新的交付方案。在日常中,你是否遇到如下問題 “ 業務需求排期長研發是瓶頸;非研發角色感受不到研發技改提效的變化;引入ISV 團隊又擔心質量和安全,培訓周期長“等等,基于此我們探索了一種新的技術體系及交付方案來解決如上問題。 ......

    uj5u.com 2023-04-20 08:18:49 more
  • 05單件模式

    #經典的單件模式 public class Singleton { private static Singleton uniqueInstance; //一個靜態變數持有Singleton類的唯一實體。 // 其他有用的實體變數寫在這里 //構造器宣告為私有,只有Singleton可以實體化這個類! ......

    uj5u.com 2023-04-19 08:42:51 more
  • 【架構與設計】常見微服務分層架構的區別和落地實踐

    軟體工程的方方面面都遵循一個最基本的道理:沒有銀彈,架構分層模型更是如此,每一種都有各自優缺點,所以請根據不同的業務場景,并遵循簡單、可演進這兩個重要的架構原則選擇合適的架構分層模型即可。 ......

    uj5u.com 2023-04-19 08:42:41 more