《玩轉細粒度許可權管理》 三,使用者角色許可權RBCA

2021-08-30 01:55:44 字數 2767 閱讀 2450

第三章

使用者角色許可權rbca

第一章介紹了專業細粒度許可權管理軟體 metadmin 的安裝。第二章講解了對於 web 頁面的控制。哪些頁面需要登入才能訪問,哪些頁面不需要登入就能訪問。需要登入的頁面,又如何頁面訪問許可權呢?即具有什麼樣角色的人才能訪問。

本章詳細講解使用者角色許可權關係。這也就是 rbca(role based access control ,基於角色的訪問控制 ) 。功能級許可權控制到本章為止,就介紹完畢。下章開始介紹細粒度許可權控制。

基於角色控制模型已經深入人心,關係並不複雜,廣泛運用於各個系統。通過給使用者賦予角色、角色擁有許可權的模式,達到控制使用者具有許可權的目的。同時,還復用了角色,這樣可以讓多個相同職務(或職能)的人擁有同樣的角色。

比如:

張三是管理員,他可以修改系統配置引數;

李四是客服人員,他可以呼叫客戶,處理客戶反饋;

王五是銷售人員,他可以下訂單,維護客戶資料。

通過這種定義方式,只要擁有該許可權的人,訪問該資源的時候,會產生相同的效果。比如:李四是北京客服人員,而洪七是上海客服人員,他們呼叫的客戶範圍是不同的。

如果,定義北京客戶人員,上海客戶人員 2 種角色,那麼如果有多個地方,這維護起來太費力。

如果,給李四和洪七的使用者名稱下,分配資源。就是有些網友提出的解決方案:使用者--資源表。那麼每個使用者都要維護一次,每個客戶維護一次,這更費力。

顯然上述兩種方案,都不可取。因為,這些都屬於細粒度、資料級的許可權控制, rbac 模型無能為力。這種細粒度控制下章開始介紹。

許可權定義,要包含以下幾大類資訊:

1, 該許可權的基本資訊;

2, 一般會將整個系統許可權看成一棵樹,該許可權在許可權樹上的位置;

3, 該許可權對應的資源,一般為 web url 。

那麼許可權表有這麼幾個字段: id, name, description, parented, url, target

角色定義非常簡單: id, name, description

使用者表就不多說了,這是乙個業務領域的表。不同系統,使用者表結構是不一樣的。

角色、許可權關係表: id, privilegeid, roleid ,乙個角色可以擁有多個許可權,乙個許可權可以被多個角色擁有,多對多關係。

使用者、角色關係表: id, userid, roleid ,同樣是多對多關係。

指定使用者、指定許可權,判斷該使用者是否擁有該許可權。

select roleid from 使用者、許可權管理系表 where userid=? and roleid in( select roleid from 角色、許可權關係表 where privilegeid=?)

如果有記錄,表明該使用者擁有該許可權,否則表示不擁有。

metadmin 是細粒度許可權管理中介軟體,可以在 www.metadmin.com

在安裝使用者元資料檔案的時候, metadmin 會自動建立相關許可權表(許可權表、角色表、許可權角色關係表、角色使用者關係表)。在 rbac 控制方面, metadmin 提供如下服務:

1, 自動建立相關資料庫表;

2, 維護許可權、角色、給使用者授權,整套後台程式以及前台介面;

3, 提供許可權認證 api ,供業務系統呼叫。

開發者只要在業務方法裡面呼叫 api 即可,不需要做任何程式開發。

許可權維護介面:樹形結構

許可權定義維護介面:輸入項引數

常量匯出介面:匯出定義的許可權,開發者將這些常量放入自定義的常量類裡面,方便以常量的形式引用各種許可權。

其他管理介面,建立角色、給角色分配許可權,給使用者分配許可權。這些沒有什麼特殊之處,僅貼出給角色分配許可權介面,其他不再多說了。

給角色分配許可權介面:

就功能許可權方面, metadmin 提供如下 2 個 api :

metadminservice 類:

static boolean

hasprivilege(int privilegeid, user  user) 

判斷指定使用者是否擁有指定的許可權

webmetadminservice 類,更方面給 web 程式呼叫的,自動從 req 裡面讀取使用者:

判斷指定使用者是否擁有指定的許可權

細心的讀者,肯定會問:

1, 給使用者分配角色是業務管理職責,建立角色、許可權,維護角色、許可權關係是系統管理員職責。這樣籠統的提供乙個介面,讓大家都能使用,這種做法不可取。

2, 即便是給使用者分配角色,不同業務管理員可以分配的使用者範圍是不同的。

是的, metadmin 對此持有相同看法。為此, metadmin 預定義了 3 個許可權:角色管理、給使用者分配角色和策略管理三種角色。

如圖示:

擁有「角色管理」許可權的使用者,可以增加、刪除、修改角色,維護角色擁有的許可權;

擁有「給使用者分配角色」許可權的使用者,可以管理使用者具有的角色。至於該使用者能夠檢視到哪些使用者, metadmin 也預留了控制功能。如何控制在此暫時不表。

擁有「策略管理」許可權的使用者,能夠進行細粒度許可權管理工作,制定許可權策略。如何制定許可權策略,以後章節會逐步介紹。

為了讓對 metadmin 介面訪問許可權生效,還需要對 web.xml 進行修改。將 secured 引數值由 false 改為 true 。

如圖示:

細粒度許可權管理

表1 許可權對映表 表名 tbl res map 許可權對映 類別 表 欄位名 字段別名 資料型別 主鍵 允許空 顯示 預設值 說明 pid 許可權編碼 varchar 50 y n n service view 資源 varchar 50 y n n explain 說明 varchar 50 y...

粗細粒度許可權 許可權

粗粒度許可權管理,對資源型別的許可權管理。資源型別比如 選單 url連線 使用者新增頁面 使用者資訊 類方法 頁面中按鈕。粗粒度許可權管理比如 超級管理員可以訪問戶新增頁面 使用者資訊等全部頁面。部門管理員可以訪問使用者資訊頁面包括 頁面中所有按鈕。細粒度許可權管理,對資源例項的許可權管理。資源例項...

粗粒度與細粒度許可權控制

粗粒度許可權管理,對資源型別的許可權管理。資源型別比如 選單 url連線 使用者新增頁面 使用者資訊 類方法 頁面中按鈕。粗粒度許可權管理比如 超級管理員可以訪問戶新增頁面 使用者資訊等全部頁面。部門管理員可以訪問使用者資訊頁面包括 頁面中所有按鈕。細粒度許可權管理,對資源例項的許可權管理。資源例項...