【REST2SQL】14 基于角色的数据权限设计与实现

2024-05-15 17:52
文章标签 数据 实现 设计 角色 14 权限 rest2sql

本文主要是介绍【REST2SQL】14 基于角色的数据权限设计与实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

【REST2SQL】01RDB关系型数据库REST初设计
【REST2SQL】02 GO连接Oracle数据库
【REST2SQL】03 GO读取JSON文件
【REST2SQL】04 REST2SQL第一版Oracle版实现
【REST2SQL】05 GO 操作 达梦 数据库
【REST2SQL】06 GO 跨包接口重构代码
【REST2SQL】07 GO 操作 Mysql 数据库
【REST2SQL】08 日志重构增加输出到文件log.txt
【REST2SQL】09 给Go的可执行文件exe加图标和版本信息等
【REST2SQL】10 REST2SQL操作指南
【REST2SQL】11 基于jwt-go生成token与验证
【REST2SQL】12 REST2SQL增加Token生成和验证
【REST2SQL】13 用户角色功能权限设计

0 前言废话

0.1 常见的权限管理模型

  • ACL ACL的全称是 Access Control List (访问控制列表)
    ACL 是最简单的权限管理模型之一。它基于对象与主体之间的关系来控制访问权限。ACL 将权限直接与用户或用户组相关联,管理员直接给用户授予某些权限即可。
    这种模型适用于小型和简单系统,其中权限控制较为简单,并且角色和权限的变化较少。

  • RBAC(Role-Based Access Control,基于角色的访问控制)
    RBAC 是应用最广泛的权限管理模型之一。它通过定义角色和角色的权限集合来管理访问控制。用户被分配到角色,角色与权限相关联,从而精确地控制用户对系统资源的访问。
    RBAC 适用于大型系统,特别是那些需要灵活、可扩展的权限管理的场景。使用 RBAC 可以简化权限管理的复杂性并提高系统的安全性。
    RBAC权限管理的模式,最适合公司内部的管理系统,不适合对外互联网用户的系统。

  • ABAC(Attribute-Based Access Control,基于属性的访问控制)
    ABAC(Attribute-Based Access Control,基于属性的访问控制),又称为PBAC(Policy-Based Access Control,基于策略的访问控制),或CBAC(Claims-Based Access Control,基于声明的访问控制)。ABAC 是一种基于属性的权限管理模型,它根据多个属性(如用户属性、环境条件、时间等)来进行访问控制决策。ABAC 通过定义策略来决定用户是否有权访问特定的资源。
    这种模型适合于需要更细粒度、动态和灵活的访问控制的场景。ABAC 在复杂的环境中可以提供高度的可配置性和可扩展性。

0.2 数据权限分级

  • 系统级
  • 对象级,表或视图
  • 行级,表或视图的行
  • -列级,表或视图的具体字段

1 数据权限设计

权限管理的核心是角色,角色上接用户,下接功能,功能关联数据。
权限管理的5大实体 : 用户-角色=页面#数据,角色-数据对象关系
实体之间的关系:用户1对多角色,角色1对多页面,页面1对多数据,角色1对多数据。
实体及关系图如下:
在这里插入图片描述
此数据权限设计兼顾了灵活与通用。

  • 支持一个用户多角色,多角色都关联同一数据对象时,用户的数据权限是多个角色数据权限的并集。比如一个用户 user1 分配了2个角色 role1 和 role2,则user1 可以查阅 role1 和 role2 所有数据。
  • 根据角色的功能权限自动获取相关数据对象(视图或表),并在角色上定义数据权限约束 Where条件。

1.1 权限实体(表)设计

  • 用户表 s_user (p_id, s_name, s_passw…)
  • 角色表 s_role (p_id, s_name…)
  • 页面表 s_menu(p_id, s_name,s_page…)
  • 数据(对象)视图 user_tabs_views
  • 角色-数据权限表s_role_data(pf_role,pf_data,s_where)
    数据对象包括表和视图。
-- Oracle 数据库的表和视图
CREATE OR REPLACE VIEW USER_TABS_VIEWS AS
SELECT TABLE_NAME,TABLE_TYPE,COMMENTS,tab_cnt(table_name) as rowcount
FROM user_tab_comments
order by table_type,table_name;
comment on table USER_TABS_VIEWS is '用户表及视图';

1.2 权限关系(表)设计

  • 用户角色关系表 s_user_role (pf_user,pf_role…)
  • 角色功能权限关系表 s_role_menu (pf_role,pf_menu…)
  • 页面数据对象关系表 s_menu_data (pf_menu,pf_data…)
  • 角色数据对象权限关系表 s_role_data (PF_ROLE,PF_DATA,s_where,s_note…)
    角色项下所有功能页面关联的数据对象的集合(页面和数据是多对多的关系,此集合不去除了重复的数据对象)

1.3 角色数据权限视图设计

其它视图参阅 【REST2SQL】13 用户角色功能权限设计

  • 角色关联的数据对象视图,就是角色功能权限用到的数据对象。
	create or replace view role_data_v asselect distinct m.pf_role, d.pf_datafrom S_MENU_DATA dleft join s_role_menu m on m.pf_menu = d.pf_menuwhere m.pf_role is not null;comment on table ROLE_DATA_V is '角色关联的数据对象视图';
  • 角色数据权限重置连接表,就是角色功能权限或功能数据对象发生变化时,角色当前数据权限和应该拥有的数据权限对照视图
create or replace view role_data_join_v as
select "CROLE","CDATA","HROLE","HDATA"
from ( select pf_role as crole, pf_data as cdata from S_ROLE_DATA  ) c
full outer join (select pf_role as hrole, pf_data as hdata from role_data_v  ) hon h.hdata = c.cdata  and h.hrole = c.crole;
comment on table ROLE_DATA_JOIN_V is '角色数据权限重置连接表';

1.4 角色数据权限更新的存储过程

角色-功能权限或功能-数据对象发生变化时,执行此存储过程变更角色的数据权限,增加或删除角色的数据对象权限。

	CREATE OR REPLACE PROCEDURE reset_role_dataIS--PRAGMA AUTONOMOUS_TRANSACTION;BEGIN-- 这里放置处理数据的代码NULL; -- 示例中,我们不执行任何操作for rec in ( select crole,cdata,hrole,hdata from role_data_join_v ) loopif rec.crole is null then--当前角色插入数据对象dbms_output.put_line('A 当前角色增加数据对象...');insert into s_role_data (pf_role,pf_data) values (rec.hrole,rec.hdata);end if;if rec.hrole is null then--当前角色删除数据对象dbms_output.put_line('B 当前角色删除数据对象...');delete from s_role_data where pf_role = rec.crole and pf_data = rec.cdata;end if;end loop;--提交数据操作数据--commit;END;

1.5 触发器设计

  • 功能s_menu_data数据对象变化时触发器,功能页面数据对象变化时触发
	create or replace trigger s_menu_data_triggerFOR INSERT OR DELETE on s_menu_datacompound TRIGGER/*BEFORE STATEMENT IS -- 语句执行前触发(表级)BEGINDBMS_OUTPUT.put_line('1、BEFORE STATEMENT .');END BEFORE STATEMENT;BEFORE EACH ROW IS -- 语句执行前触发(行级)BEGINDBMS_OUTPUT.put_line('2、BEFORE EACH ROW .');END BEFORE EACH ROW;AFTER EACH ROW IS -- 语句执行后触发(行级)BEGINDBMS_OUTPUT.put_line('3、AFTER EACH ROW .');END AFTER EACH ROW;*/AFTER STATEMENT IS -- 语句执行后触发(表级)BEGINDBMS_OUTPUT.put_line('4、AFTER STATEMENT .');reset_role_data;END AFTER STATEMENT;end s_menu_data_trigger;
  • 角色s_role_menu功能权限变更时触发器,角色功能权限变化时触发
	create or replace trigger s_role_menu_triggerFOR INSERT OR DELETE on s_role_menucompound TRIGGER/*BEFORE STATEMENT IS -- 语句执行前触发(表级)BEGINDBMS_OUTPUT.put_line('1、BEFORE STATEMENT .');END BEFORE STATEMENT;BEFORE EACH ROW IS -- 语句执行前触发(行级)BEGINDBMS_OUTPUT.put_line('2、BEFORE EACH ROW .');END BEFORE EACH ROW;AFTER EACH ROW IS -- 语句执行后触发(行级)BEGINDBMS_OUTPUT.put_line('3、AFTER EACH ROW .');END AFTER EACH ROW;*/AFTER STATEMENT IS -- 语句执行后触发(表级)BEGINDBMS_OUTPUT.put_line('4、AFTER STATEMENT .');reset_role_data;END AFTER STATEMENT;end s_role_menu_trigger;

1.6 用户-数据权限

  • 用户-角色关系视图
create or replace view user_role_v as
select r.p_id as r_id,r.s_name ,s.pf_user,u.p_id as u_id,decode(length(s.pf_role),4,1,0) as b_ynfrom s_role r
cross join s_user u --先做一个用户与角色的笛卡尔交叉,再连接用户角色表
left join s_user_role s on s.pf_user = u.p_id and s.pf_role = r.p_id
order by u.p_id,r.p_id
;
comment on table USER_ROLE_V is '用户角色勾选';

在这里插入图片描述

  • 用户-数据视图
create or replace view user_data_v as
select distinct u.u_id, u.r_id, --多角色同一个数据对象,用户的数据权限用 or 连接d.pf_data, d.s_wherefrom user_role_v u --用户-角色关系视图left join s_role_data d -- 角色-数据表on d.pf_role = u.r_idwhere d.pf_data is not null and u.pf_user is not null;comment on table USER_data_V is '用户-数据权限';

1.7 用户-数据权限字符串生成函数

根据用 用户 userid 和 数据对象 dataid 查询user_data_v 视图生成数据权限字符串,此字符串作为 sql 语句的 Where的一部分。

CREATE OR REPLACE FUNCTION GET_DATA_WHERE (userid varchar2,dataid varchar2) RETURN varchar2 is-- 获取userid的dataid的数据权限Where字符串where_str varchar2(512) := ' ';
BEGINfor curs in (select s_where,r_id from user_data_v where u_id = userid and pf_data = upper(dataid) ) loop--DBMS_OUTPUT.PUT_LINE(curs.r_id || ':' || curs.s_where);-- 循环组合where字符串,用 or 连接if curs.s_where is null then--定义了数据对象,权限where为空的,用 1=1 表示没有数据权限控制where_str := ' ';elsewhere_str := where_str || curs.s_where || ' or ';end if;end loop;if instr(where_str,'or') > 5  thenwhere_str := substr(where_str,1,length(where_str) - 3); --去除最后的 orelse--没有定义的数据对象(游标返回行数为0)返回nullwhere_str := null;end if;return where_str;
END GET_DATA_WHERE;

2 数据权限的后端实现

基于以上的用户数据权限设计,后端验证 token 时返回用户的帐号 userid ,根据用户的 userid 和 数据对象 dataid 显示数据的访问范围。

2.1 创建数据权限函数 getDataWhere

// 获取用户 userid 的数据对象 dataid 的数据权限 where 字符串
func getDataWhere(userid string, dataid string) string {dataID := strings.ToUpper(dataid) // 数据对象名改为大写sSql := "select get_data_where('" + userid + "','" + dataID + "') as s_where from dual"result := Icrud.SelectData(sSql)var swhere []map[string]stringerr := json.Unmarshal([]byte(result), &swhere)if err != nil {panic(err)}//fmt.Println(swhere)s_where := swhere[0]["S_WHERE"]return s_where
}

2.2 重构token验证函数

增加返回 token 里的 userid

// token 验证函数
func vToken(w http.ResponseWriter, tokenString string) (string, int) {tokenmap := make(map[string]interface{})tokenmap = token.ValidateTokenHandler(w, tokenString)if tokenmap["status"] != http.StatusOK {// 抛出错误信息httpResWriter(w, tokenmap)return "", 401}// 返回userid 和 200return tokenmap["userid"].(string), 200
}

2.3 Token验证时保存Userid

REST请求时验证token,代码片段:

switch req["RESTorSQL"] {case "REST":// 是否配置了需要token验证if config.Conf.OpenToken {// token有效性验证tokenString := req["Authorization"].(string)userid, status := vToken(w, tokenString)if status != 200 {return}req["Userid"] = userid //token里的userid}

2.4 Where 条件增加数据权限

// 根据 userid 和 数据对象 加数据权限,数据库函数 get_data_where实现,返回的where 用 and 连接if config.Conf.OpenToken {userid := req["Userid"].(string)dataWhere := getDataWhere(userid, resName) // 数据权限 whereurlWhere := qry["Where"]                   // url 上的 whereif len(dataWhere) > 3 {if len(urlWhere) > 3 {// 如果有数据权限约束就加上qry["Where"] = qry["Where"] + " and (" + dataWhere + ")"} else {qry["Where"] = dataWhere}}}

3 前端实现

3.1 页面-数据对象设置

创建一个页面-数据对象设置页面即可。这个需要开发人员来设置,只有开发人员才知道页面用到那些数据,当然不进行数据权限约束的数据对象是不需要设置的。
在这里插入图片描述

3.2 角色-数据对象权限设置

创建角色-数据对象权限设置页面即可。就是定义sql查询语句的where条件,这个也由开发人员设置。
在这里插入图片描述

3.3 用户-数据权限查询

创建查询用户的数据权限页面
在这里插入图片描述

4 实操演练

4.1 设置页面-数据对象

在这里插入图片描述

4.2 设置角色-数据权限

  1. 新建一个角色 YSSH
  2. 设置功能权限
    在这里插入图片描述
  3. 设置角色-数据权限
    在这里插入图片描述

4.3 查询用户-数据权限

  1. 设置用户-角色 在这里插入图片描述
  2. 查询用户-数据权限
    在这里插入图片描述

4.4 用户登录

在这里插入图片描述

4.5 企业管输需求

在这里插入图片描述
如上图,列表只显示本企业的数据,企业ID的列选也只有本企业可选了。
后台的SQL查询语句类似如下:

select *from dd_xuqiuwhere to_char(date_t, 'YYYY-MM-DD') >= '2022-07-10' and qy_id = nvl('', qy_id)and yz_id = nvl('', yz_id)and (qy_id = 'Q0010')

其中 qy_id = ‘Q0010’ 就是权限控制条件。

5 跋尾

此数据权限基于管输管理平台设计,管输平台主要角色有总部、企业、油库、港口、货代等,不用角色的数据权限都不同,还有很大差别,此设计完全满足数据权限的管理。如果参与的主体很多年的话,可能会有角色组合爆炸。
对于有层级关系的数据也基本能实现数据权限的控制。不需要构建组织机构表,但要用角色实现组织机构关系。

本文完

这篇关于【REST2SQL】14 基于角色的数据权限设计与实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/992515

相关文章

C#实现将Excel表格转换为图片(JPG/ PNG)

C#实现将Excel表格转换为图片(JPG/ PNG)

《C#实现将Excel表格转换为图片(JPG/PNG)》Excel表格可能会因为不同设备或字体缺失等问题,导致格式错乱或数据显示异常,转换为图片后,能确保数据的排版等保持一致,下面我们看看如何使用C... 目录通过C# 转换Excel工作表到图片通过C# 转换指定单元格区域到图片知识扩展C# 将 Excel
阅读更多...
基于Java实现回调监听工具类

基于Java实现回调监听工具类

《基于Java实现回调监听工具类》这篇文章主要为大家详细介绍了如何基于Java实现一个回调监听工具类,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录监听接口类 Listenable实际用法打印结果首先,会用到 函数式接口 Consumer, 通过这个可以解耦回调方法,下面先写一个
阅读更多...
使用Java将DOCX文档解析为Markdown文档的代码实现

使用Java将DOCX文档解析为Markdown文档的代码实现

《使用Java将DOCX文档解析为Markdown文档的代码实现》在现代文档处理中,Markdown(MD)因其简洁的语法和良好的可读性,逐渐成为开发者、技术写作者和内容创作者的首选格式,然而,许多文... 目录引言1. 工具和库介绍2. 安装依赖库3. 使用Apache POI解析DOCX文档4. 将解析
阅读更多...
Qt中QGroupBox控件的实现

Qt中QGroupBox控件的实现

《Qt中QGroupBox控件的实现》QGroupBox是Qt框架中一个非常有用的控件,它主要用于组织和管理一组相关的控件,本文主要介绍了Qt中QGroupBox控件的实现,具有一定的参考价值,感兴趣... 目录引言一、基本属性二、常用方法2.1 构造函数 2.2 设置标题2.3 设置复选框模式2.4 是否
阅读更多...
C++使用printf语句实现进制转换的示例代码

C++使用printf语句实现进制转换的示例代码

《C++使用printf语句实现进制转换的示例代码》在C语言中,printf函数可以直接实现部分进制转换功能,通过格式说明符(formatspecifier)快速输出不同进制的数值,下面给大家分享C+... 目录一、printf 原生支持的进制转换1. 十进制、八进制、十六进制转换2. 显示进制前缀3. 指
阅读更多...
springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法

springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法

《springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法》:本文主要介绍springboot整合阿里云百炼DeepSeek实现sse流式打印,本文给大家介绍的非常详细,对大... 目录1.开通阿里云百炼,获取到key2.新建SpringBoot项目3.工具类4.启动类5.测试类6.测
阅读更多...
pytorch自动求梯度autograd的实现

pytorch自动求梯度autograd的实现

《pytorch自动求梯度autograd的实现》autograd是一个自动微分引擎,它可以自动计算张量的梯度,本文主要介绍了pytorch自动求梯度autograd的实现,具有一定的参考价值,感兴趣... autograd是pytorch构建神经网络的核心。在 PyTorch 中,结合以下代码例子,当你
阅读更多...
SpringBoot集成Milvus实现数据增删改查功能

SpringBoot集成Milvus实现数据增删改查功能

《SpringBoot集成Milvus实现数据增删改查功能》milvus支持的语言比较多,支持python,Java,Go,node等开发语言,本文主要介绍如何使用Java语言,采用springboo... 目录1、Milvus基本概念2、添加maven依赖3、配置yml文件4、创建MilvusClient
阅读更多...
JS+HTML实现在线图片水印添加工具

JS+HTML实现在线图片水印添加工具

《JS+HTML实现在线图片水印添加工具》在社交媒体和内容创作日益频繁的今天,如何保护原创内容、展示品牌身份成了一个不得不面对的问题,本文将实现一个完全基于HTML+CSS构建的现代化图片水印在线工具... 目录概述功能亮点使用方法技术解析延伸思考运行效果项目源码下载总结概述在社交媒体和内容创作日益频繁的
阅读更多...
SpringValidation数据校验之约束注解与分组校验方式

SpringValidation数据校验之约束注解与分组校验方式

《SpringValidation数据校验之约束注解与分组校验方式》本文将深入探讨SpringValidation的核心功能,帮助开发者掌握约束注解的使用技巧和分组校验的高级应用,从而构建更加健壮和可... 目录引言一、Spring Validation基础架构1.1 jsR-380标准与Spring整合1
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2