RBAC模型整合数据权限

在项目实际开发中咱们不光要控制一个用户能访问哪些资源，还须要控制用户只能访问资源中的某部分数据。

控制一个用户能访问哪些资源咱们有很成熟的权限管理模型即RBAC，可是控制用户只能访问某部分资源（即咱们常说的数据权限）使用RBAC模型是不够的，本文咱们尝试在RBAC模型的基础上融入数据权限的管理控制。

首先让咱们先看下RBAC模型。

RBAC模型

RBAC是Role-BasedAccess Control的英文缩写，意思是基于角色的访问控制。

RBAC事先会在系统中定义出不一样的角色，不一样的角色拥有不一样的权限，一个角色实际上就是一组权限的集合。而系统的全部用户都会被分配到不一样的角色中，一个用户可能拥有多个角色。使用RBAC能够极大地简化权限的管理。

RBAC模型还能够细分为RBAC0，RBAC1，RBAC2，RBAC3。这里咱们不讨论他们之间的差别，感兴趣的同窗能够自行研究，咱们主要聚焦于常见的RBAC0模型上。

以下图就是一个经典RBAC0模型的数据库设计。

RBAC0

在RBAC模型下，系统只会验证用户A是否属于角色RoleX，而不会判断用户A是否能访问只属于用户B的数据DataB。这种问题咱们称之为“水平权限管理问题”。

数据权限

列表数据权限，主要经过数据权限控制行数据，让不一样的人有不一样的查看数据规则；要实现数据权限，最重要的是须要抽象出数据规则。

数据规则

好比咱们系统的商机数据，须要从下面几个维度来控制数据访问权限。

1. 销售人员只能看本身的数据；
2. 各大区的销售经理只能看各区域的数据（安徽大区的销售经理看安徽区域的商机数据），同理也适用于某BG分管领导只能看所在BG的商机数据；
3. 财务人员只能看金额小于一万的数据。

上面的这些维度就是数据规则。

这样数据规则的几个重点要素咱们也明晰了，就是规则字段，规则表达式，规则值，上面三个场景对应的规则分别以下：

1. 规则字段：建立人，规则表达式：= ，规则值：当前登陆人
2. 规则字段：所属大区，规则表达式：= ，规则值：安徽大区
3. 规则字段：销售金额，规则表达式：< ，规则值：10000

数据规则

规则字段配置说明： 
条件表达式：大于/大于等于/小于/小于等于/等于/包含/模糊/不等于
规则值：指定值 ( 固定值/系统上下文变量 )

关联资源、用户

光有数据规则是不够的，咱们还须要把数据规则跟资源和用户进行绑定。

数据规则与资源的绑定很简单，咱们只须要创建一个中间表便可，以下图所示：

这样资源就能够关联上了数据规则。

在应用设计上咱们须要一个单独的数据规则管理功能，方便咱们录入数据规则，而后在资源管理页面（好比商机列表）上就能够选择内置的数据规则进行资源与规则的绑定。

「那么如何让不一样的用户拥有不一样的数据规则呢？」

在RBAC模型中，用户是经过授予不一样的角色来进行资源的管理，同理咱们可让角色在授予权限的时候关联上数据规则，这样最终在系统上就体现为不一样的用户拥有不一样的数据规则。

有点拗口，咱们仍是按上面的例子来讲。

销售人员、大区销售经理、财务人员属于不一样的角色，他们都拥有商机列表这个资源权限，可是在给这些角色绑定商机列表资源权限时咱们能够勾选对应的数据规则（上面已经实现资源与数据规则的绑定）。体如今数据库设计中咱们能够在角色资源对应关系表 Role_Permission中添加一个字段用于存储关联的数据规则，若是有多个数据规则可使用分隔符分割。

最终RBAC模型演变成以下所示的模型：

按照上面的设计咱们须要区分各个大区管理的数据权限则须要创建不一样的大区角色，如安徽大区销售经理、上海大区销售经理，而后分别给角色勾选对应的数据规则。这里就相似于RBAC1中的角色继承的概念了。

这样咱们就基本实现了RBAC与数据规则的绑定，可是咱们还有个问题就是如何在系统中落地。

这里咱们就要借助大名鼎鼎的AOP来实现了，这篇文章只讲原理不讲实现，因此咱们只顺带提一下实现方案。

1. 自定义一个数据权限的注解，好比叫 PermissionData
2. 在对应的资源请求方法，好比商机列表上添加自定义注解 @PermissionData
3. 利用AOP抓取到用户对应角色的全部数据规则并进行SQL拼接，最终在SQL层面实现数据过滤。

继续优化

在上面的设计中咱们经过给不一样角色绑定不一样数据规则实现了数据权限，可是考虑下面一种场景：某角色须要看到的数据范围为 “所属大区为安徽大区且事业部为消费者事业部的商机数据”，在这种场景里按照咱们以前的设计须要创建两个数据规则：

1. 所属大区 = 安徽大区
2. 所属事业部 = 消费者事业部

而后再创建2个不一样的角色，分别授予不一样的数据规则，若是这样的场景比较多的话很容易出现角色爆炸的状况，全部咱们这里再抽取出 数据规则组 的概念。

一个数据规则组有多个数据规则，数据规则之间经过 AND 进行链接，放一张应用设计图：

体如今数据库设计中就变成了以下所示：

小结

经过上面8张表的设计咱们实现了RBAC模型与数据权限的结合，固然这里还有继续优化的空间。好比这里的规则字段和规则值咱们能够抽取出对应的字典表，让数据规则表去关联这些字典字段，这样在应用层配置数据规则的时候就不须要管理员手动填写而是从字典项中去选择了，减小了数据规则配置出错的几率。

数据权限是一个实现相对比较复杂的功能，这里咱们选择的是在RBAC模型基础上进行扩展，若是你有更好的解决方案欢迎留言告诉我。

End

干货分享

这里为你们准备了一份小小的礼物，关注公众号，输入以下代码，便可得到百度网盘地址，无套路领取！

001：《程序员必读书籍》
002：《从无到有搭建中小型互联网公司后台服务架构与运维架构》
003：《互联网企业高并发解决方案》
004：《互联网架构教学视频》
006：《SpringBoot实现点餐系统》
007：《SpringSecurity实战视频》
008：《Hadoop实战教学视频》
009：《腾讯2019Techo开发者大会PPT》

010： 微信交流群

近期热文top

一、关于JWT Token 自动续期的解决方案

二、SpringBoot开发秘籍-事件异步处理

三、架构师之路-服务器硬件扫盲

四、基于Prometheus和Grafana的监控平台 - 环境搭建

五、RocketMQ进阶 - 事务消息

我就知道你“在看”

本文分享自微信公众号 - JAVA日知录（javadaily）。
若有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一块儿分享。