一文带你了解多数企业系统都在用的 RBAC 权限管理策略

2024-05-06 20:04

本文主要是介绍一文带你了解多数企业系统都在用的 RBAC 权限管理策略,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

哈喽你好呀,我是 嘟老板,今天我们来聊聊几乎所有企业系统都离不开的 权限管理,大家平时在做项目开发的时候,有没有留意过权限这块的设计呢?都是怎样实现的呢?如果现在脑子里对于这块儿不够清晰,那么,请跟我一起,来了解下企业系统常用的权限管理策略 - RBAC 模型。

介绍

为什么需要权限管理

要弄清楚这个问题,我们先来看看什么是权限?个人认为,权限就是一系列用户可用的系统资源的整合,可以大致分为以下三类:

  • 菜单权限:用户使用的菜单、查看的页面等。
  • 操作权限:系统页面中的交互功能按钮,如编辑,删除,新增等。
  • 数据权限:用户在页面中查看的数据内容,业务系统数据一般存在机密性,不同身份的用户查看的数据范围也有所不同。

了解了权限,那么 权限管理 也就比较清晰了,其实就是对系统用户访问资源的管理。根据业务要求的不同,用户看到的菜单、使用的功能、查看的数据都有所不同。

那么为什么要控制访问权限呢?因为不同的用户所负责的业务范围是不同的,比如管理者可以看到所有下属的信息,但是普通只能看到自己的;比如行政可以看到所有人的打卡记录,而普通员工只能看自己的;比如财务可以看到所有人的工资,而普通员工只能看到自己的…等等等等,

这都离不开 权限管理,通过为系统用户分配不同的权限,以达到精准控制的目的。

什么是 RBAC 模型

RBAC(Role-Based Access Control)即:基于角色的权限控制

基础设计如下: image.png

在整个流程中,将 菜单操作组织 等系统资源统一由权限管理,再通过角色关联用户角色关联权限的方式间接赋予用户权限。

那么,为什么需要角色这一节点呢,直接将权限分配给用户不是也可以实现吗?

当然可以,但是试想一下,如果为每个用户直接分配权限,首先权限配置就是一个比较大的工作量。而且,如果某一类用户的权限发生变更,就需要再次为每个人都变更权限配置,可见其扩展性维护性方面就弱了不少,只能适用于用户数量,权限分类较少的平台。

而有了角色这一节点,就可以为不同的角色分配不同的权限,用户只需要关联指定的角色,不需要为一一分配繁琐的权限。而且角色权限变更后,也只需要更新某一角色的权限配置,无需对每个用户进行调整。

实现

设计思路

清楚了什么是权限管理,接下来我们就来思考一下如何设计一套基础的权限系统,假设我们目前只需要管理菜单权限

image.png

如图所示,我们至少需要如下管理模块:

  • 用户管理
  • 菜单管理
  • 权限管理
  • 角色管理

其中,用户管理菜单管理 负责基础信息维护,权限管理 是一系列 菜单资源 的集合,角色管理 是一系列 权限 的集合,可分配给指定用户

从实际开发点来说,除了基础的 增删改查 之外,用户管理 需要 分配角色 功能,来为用户分配指定的一个或多个角色;权限管理 需要 分配菜单 功能,来为每个权限调整指定的菜单资源;角色管理 需要 分配权限 功能,来为每个角色分配一个或多个权限。

整个实现过程可大致分成三个部分:

  1. 实现前端管理模块
  2. 设计表结构,实现后端查询逻辑
  3. 前端路由管控,对标权限数据

1.实现前端管理模块

1.1 菜单层级设计

权限管理模块可以放到 系统设置 一级目录,与其他系统层级的配置一同管理。或者单独一个 权限管理 目录进行管理。

1.2 功能设计

我们来列举下相关的管理模块及可能涉及的操作:

  • 角色管理:新增、删除、查看、编辑、分配权限、启用/停用。
  • 权限管理:新增、删除、查看、编辑、分配菜单、启用/停用。
  • 菜单管理:新增、删除、查看、编辑、启用/停用。
  • 用户管理:新增、删除、查看、编辑、分配角色、启用/停用。

为什么需要 启用/停用 操作?

这是为了在状态上管理数据,如果数据没有状态,那么不需要的数据就只能删除,删除之后用户又想要找回这条数据怎么办。如果是逻辑删除的话还有办法,可以让技术在数据库后台手动恢复;但若是物理删除呢,那不好意思,只能用户重新建一条一样的了。不过无论是哪种删除模式,用户都没办法在前端界面直接操作。有了状态就不一样了,肯定不需要的数据直接删除,可能后续需要恢复的数据,就停用,需要时再次启用即可。

除了以上功能,角色管理 还可以加入 添加用户菜单管理 可以添加 指定权限 等类似的功能,使得配置入口更加灵活,可以在 用户管理 处分配角色,也可在 角色管理 添加用户,减少用户使用系统的心智负担。

2.表关系设计

此部分为后端内容,其实整个权限系统的的核心逻辑都是在后端,工作量大概占了 70% 左右。

我们先来看看涉及到的几个实体类及关系: image.png

其中 角色用户角色权限权限菜单 都是 多对多 的关系,即一个权限可以分配给多个用户,一个用户也可被分配多个权限,以此类比 角色权限,,权限菜单

鉴于此,数据表方面除了 角色用户权限菜单 四个基础表之外,还需要 角色-用户角色-权限权限-菜单 中间表,用于维护他们之间 多对多 的关联关系。

比如我们要实现 菜单 权限的控制,后端提供的 菜单 查询接口核心逻辑就是 根据当前用户所分配的所有角色,去匹配所有的菜单权限后做去重处理

本部分属于业务代码,就不贴代码了,后续代码会上传到[个人项目](github.com/ying2gege/z…

3.前端路由对标权限

这一步是前端处理的重点,在 2.数据管理逻辑处理 步骤中提供了匹配权限后的菜单查询接口,前端可以调用该接口获取到菜单数据。

那么请想一想,拿到菜单数据之后,前端需要做些什么呢?

前端需要根据菜单数据,来匹配前端路由数据,仅保留和菜单数据匹配的路由配置。

那么什么是路由呢?

对于 SAP 项目,前端只有一个 html 页面,但是在项目中会有很多个页面,他们会分别对应一个特定的 url,以实现页面刷新、跳转和后退等操作,能够实现以上功能的工具就是路由。以 Vue 项目为例,对应的路由工具叫做 VueRouter,可以通过 VueRouter 提供的 配置项组件API 实现页面的渲染和导航。

清楚了什么是路由,接下来就是匹配过程。那么问题又来了 拿什么来匹配前端路由配置

还是以 Vue 项目为例,路由至少需要以下配置项:

{name: 'Root',path: '/',component: () => import('@views/root/index.vue')
}

其中

  • name 是路由名称,全局唯一;
  • path 是页面对应的 url,全局唯一;
  • component 是对应的页面代码地址,即 vue 页面。

既然 name 属性全局唯一,我们自然就可以拿 name 属性作为匹配指标,但是和什么匹配呢,回想下关于 菜单 结构的设计,有一个 Code 字段,即菜单编码,我们可以将此字段同样设计成全局唯一,作为与路由 name 属性匹配的数据指标,只要路由 name 属性能够与菜单 Code 字段匹配上,就保留该路由配置。

核心代码贴上:

export function matchRoutesByAuthMenus(routes: RouteRecordRaw[],menus: ZiMuAuth.Menu[]
) {if (!menus.length || !routes.length) return []const menuCodes = menus.map(m => m.code)const matchRoutes = (routes: RouteRecordRaw[]) => {const target: RouteRecordRaw[] = []for (const route of routes) {const matched = !route.name || menuCodes.includes(route.name as string)if (matched) {if (route.children?.length) {route.children = matchRoutes(route.children)}target.push(route)}}return target}const result: RouteRecordRaw[] = matchRoutes(routes)return result
}

参数 routes所有路由配置menus后端返回的菜单列表。由于 路由配置 基本都存在嵌套的情况,所以采用 递归 的方式匹配子配置项,最终筛选出与菜单完全匹配的路由配置。

然后使用 VueRouteraddRoute API 将匹配后的路由配置循环添加到 router 中。

for (const route of matchedRoutes) {router.addRoute(route)
}

若想深入了解本步骤的实现逻辑,可前往《论真实 Vue 项目引发的对于路由权限的思考》

注: “添加到 router 中” 里提到的 router 是调用 VueRoutercreateRouter 函数创建的路由实例,后续的应用中所有路由相关的操作,如导航,都会用到该实例对象。不清楚的小伙伴可查看 官网。

增强

我们在上一趴实现了基础的权限管理,然而实际的企业系统,由于业务体量、人员基数等因素,可能需要更为复杂的权限管理系统。

经过无数业务实践的积累,业内也针对 RBAC 模型有个比较细致的分类,复杂度层层递进,着力满足绝大多数的业务场景。

  1. RBAC0模型:最基础的用户、角色、权限管理模型,与我们上面实现的相近。
  2. RBAC1模型:在 RBAC0 的基础上,增加了 子角色,引入继承的概念,即子角色可以继承父角色所有的权限,并支持在父角色的权限基础上进行删减。
  3. RBAC2模型:在 RBAC0 的基础上,增加对角色的一些限制,如角色互斥基数约束先决条件角色 等。
  4. RBAC3模型:称为统一模型,综合了 RBAC0RBAC1RBAC2 的所有特点。

虽然 RBAC 模型分了很多类,但是在实际项目中,应该结合企业的实际情况进行分析设计,不必非要追求实现某一个模型设计。比如公司规模不大的小型企业,比较基础的 RBAC0 模型就完全可以满足要求;若公司规模大、业务复杂、权限配置难度大,可以选择性的加入子角色互斥角色先决条件角色 等确保权限配置的建议性的精准度;若公司内部权限按部门划分,或某些小组划分,还可以加入 用户组,开辟另一个维度的管理方式,简化权限配置工作。

总之,权限管理并不是一种特定的范式,与企业实际业务情况息息相关。

结语

好啦,关于 RBAC 的内容就到这里啦,相信小伙伴在实际项目中也接触过其他的权限管理策略,比如访问控制列表(ACL)属性访问控制(ABAC)强制访问控制(MAC) 等等等等。欢迎评论区,大家一起讨论学习。

感谢阅读!愿你我共同进步,谢谢!!!

这篇关于一文带你了解多数企业系统都在用的 RBAC 权限管理策略的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/965245

相关文章

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

一文详解如何从零构建Spring Boot Starter并实现整合

《一文详解如何从零构建SpringBootStarter并实现整合》SpringBoot是一个开源的Java基础框架,用于创建独立、生产级的基于Spring框架的应用程序,:本文主要介绍如何从... 目录一、Spring Boot Starter的核心价值二、Starter项目创建全流程2.1 项目初始化(

Linux系统之主机网络配置方式

《Linux系统之主机网络配置方式》:本文主要介绍Linux系统之主机网络配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、查看主机的网络参数1、查看主机名2、查看IP地址3、查看网关4、查看DNS二、配置网卡1、修改网卡配置文件2、nmcli工具【通用

Linux系统之dns域名解析全过程

《Linux系统之dns域名解析全过程》:本文主要介绍Linux系统之dns域名解析全过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、dns域名解析介绍1、DNS核心概念1.1 区域 zone1.2 记录 record二、DNS服务的配置1、正向解析的配置

一文带你了解SpringBoot中启动参数的各种用法

《一文带你了解SpringBoot中启动参数的各种用法》在使用SpringBoot开发应用时,我们通常需要根据不同的环境或特定需求调整启动参数,那么,SpringBoot提供了哪些方式来配置这些启动参... 目录一、启动参数的常见传递方式二、通过命令行参数传递启动参数三、使用 application.pro

一文带你深入了解Python中的GeneratorExit异常处理

《一文带你深入了解Python中的GeneratorExit异常处理》GeneratorExit是Python内置的异常,当生成器或协程被强制关闭时,Python解释器会向其发送这个异常,下面我们来看... 目录GeneratorExit:协程世界的死亡通知书什么是GeneratorExit实际中的问题案例

一文详解SQL Server如何跟踪自动统计信息更新

《一文详解SQLServer如何跟踪自动统计信息更新》SQLServer数据库中,我们都清楚统计信息对于优化器来说非常重要,所以本文就来和大家简单聊一聊SQLServer如何跟踪自动统计信息更新吧... SQL Server数据库中,我们都清楚统计信息对于优化器来说非常重要。一般情况下,我们会开启"自动更新

Linux系统中配置静态IP地址的详细步骤

《Linux系统中配置静态IP地址的详细步骤》本文详细介绍了在Linux系统中配置静态IP地址的五个步骤,包括打开终端、编辑网络配置文件、配置IP地址、保存并重启网络服务,这对于系统管理员和新手都极具... 目录步骤一:打开终端步骤二:编辑网络配置文件步骤三:配置静态IP地址步骤四:保存并关闭文件步骤五:重

SpringSecurity 认证、注销、权限控制功能(注销、记住密码、自定义登入页)

《SpringSecurity认证、注销、权限控制功能(注销、记住密码、自定义登入页)》SpringSecurity是一个强大的Java框架,用于保护应用程序的安全性,它提供了一套全面的安全解决方案... 目录简介认识Spring Security“认证”(Authentication)“授权” (Auth

Windows系统下如何查找JDK的安装路径

《Windows系统下如何查找JDK的安装路径》:本文主要介绍Windows系统下如何查找JDK的安装路径,文中介绍了三种方法,分别是通过命令行检查、使用verbose选项查找jre目录、以及查看... 目录一、确认是否安装了JDK二、查找路径三、另外一种方式如果很久之前安装了JDK,或者在别人的电脑上,想