Neo4j: RBAC权限管理简单图模型(实现概述)

建模RBAC权限管理系统

对于CRUD操做, 角色和资源有4条关系. 分别是CREATE,UPDATE,READ,DELETE. 若是对应的操做权限不存在, 表示没有权限.

这里ID为 c508b480-082e-11e8-9f0c-b8e8563f0d3a的资源有两条操做权限记录(分别对应READ, CREATE). 这样咱们就能够定义具备某个角色的用户在指定的资源上拥有什么权限这种判断, 来达到控制用户对资源的访问.

Cypher 节点关系建立

// 建立角色(管理员,运维,普通用户)
CREATE (:Role {name: "Operator"}),(:Role {name: "Admin"}),(:Role {name: "User"});

// 建立资源节点
CREATE (resource:Resource {path: "/", name: "根目录"})
  RETURN resource;


// 普通用户在资源 / 上有, READ, CREATE权限
MATCH (role:Role {name: "User"}), (resource:Resource {path: "/"})
  CREATE (role)-[op:READ {created_at: timestamp()}]->(resource);

MATCH (role:Role {name: "User"}), (resource:Resource {path: "/"})
  CREATE (role)-[op:CREATE {created_at: timestamp()}]->(resource);


// 查询一个用户在某个资源山的操做权限列表
MATCH (u:User {name: "测试用户"})-[r:HAS_ROLE]->(role:Role {name: "User"})-[op]->(resource)
  WHERE u.roleId = role.uuid
  RETURN u.name,op.name, resource.path;

抽象表达

在实际的查询须要把用户(u), 角色(r), 资源(s)参数化. 咱们用一个函数来表达

$$P = f(u, r, s)$$

P为具备某个角色( r)的用户( u)在资源 s上的权限集合.

Cypher 查询语句

// 权限查询
MATCH (u:User)
        -[:HAS_ROLE]->(r:Role {name: "User"})
        -[op]->(resource:Resource {path: "/"})
RETURN u.uuid as user_id,
       r.name as role_name,
       resource.path as resource_path,
       type(op) as operation;

在IDEA中的Neo4j插件, 支持单一语句执行(在.cypher文件中能够保持多条Cypher查询语句, 点击一条语句会有绿色的框, 而后在点击执行按钮会执行这条被选中的Cypher语句).

在Neo4j Browser中的效果

参考资料

• RBAC权限管理模型
• RBAC for a B2B Saas platform