文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

权限管理——多系统下的数据权限通用控制

2024-11-30 05:41

关注

行业背景

在互联网系统中,权限一般分为功能权限和数据权限,功能权限比较常见,因为通用性和复用性,业内有很多的通用框架和设计。但对应数据权限来说,由于数据权限强依赖客户组织架构和具体业务的关系,往往实现起来会比较复杂,很少有一个设计架构能完全覆盖住,所以大部分的系统都一致性的遵循此策略:如非必要的尽量不使用数据权限,必须要的则单独控制。

目前常见数据权限方案基本为硬编码,具体分为如下两种:一是拆分功能页面,即根据不同数据权限用户,通过复制拷贝的方式,增加多个类似的菜单,再通过功能权限配置来给不同用户设置不同的菜单,从而实现数据权限的控制;二是在功能对应的后端接口里做判断,对不同数据权限的用户,过滤不同的数据列表透出给用户。硬编码的方式显而易见的优点是技术难度低,实现简单。

但以上硬编码的方式,无论选择用哪一种,都无法解决系统灵活性的问题,每当系统有老的需求要变更或者新的需求要新增,对应的开发人员就不得不去调整编码,修改菜单和页面,由此可见,硬编码对开发的成本和运维的成本都比较高。与此同时,行业内常见的通用数据权限控制,大都是给单一业务使用,和业务耦合度较高,可能在当前业务客户端是通用可扩展的,但是在另一个业务客户端就无法做到无缝接入了。

因此,如何提高数据权限设置的灵活性,降低耦合性,是本领域技术人员需要解决的问题。

建设价值

首先来说一下,为什么我们要做这样一个多系统的数据权限控制装置?

大背景是我司当前有多个业务系统需要通过数据权限控制业务数据,它们的用户体系或相同或不同,控制维度各有定制。

于是产生诸如以下需求:

为了支持以上需求,于是理所当然的出现了如下一套多系统的通用数据权限控制系统。

系统介绍

本系统底层使用统一的一套模型,支持权限配置化,业务方可自定义权限维度,用户体系解耦,满足不同系统快速接入数据权限的业务场景。

数据权限

RBAC是经典的功能权限模型,它是 Role-BasedAccess Control 的英文缩写,意思是基于角色的访问控制。

运营事先会在系统中定义出各种不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一组权限的集合。而系统的所有用户都会被分配到不同的角色中,一个用户可能拥有多个角色。使用这种模型可以极大地简化权限的管理。

但是,在该模型下,系统只会验证用户甲是否属于角色A,而不会判断用户甲是否能访问只属于用户乙的数据 Data。这种问题我们称之为“水平权限管理问题”。

所以,为了解决这个问题,我们基于 RBAC 模型下,又扩展了功能和维度的概念,使系统能基于角色控制用户的数据权限。如下:

图片

同时,为了做到多系统通用,我们又对系统、功能、权限做了如下抽象:

图片

模型把每个系统抽象成由一个个业务组成,业务下分解成多个功能,功能对应多个维度:

数据规则

根据以上描述,显而易见的,要实现数据权限,最重要的是需要抽象出数据规则。

比如我们营销系统的订单列表,需要从下面几个维度来控制数据访问权限。

销售人员只能看自己的数据;

a 部门的人只能看自己部门的数据;

a 部门的上级部门 A 的人能看自己部门的数据和下级 b 部门的人;

上面的这些维度就是数据规则。

这样数据规则的几个重点要素我们也明晰了,就是规则字段,规则表达式,规则值,上面三个场景对应的规则分别如下:

规则字段:创建人,规则表达式:= ,规则值:当前登录人

规则字段:所属部门,规则表达式:= ,规则值:a

规则字段:所属部门,规则表达式:in ,规则值:A,a

即数据规则由【维度+条件表达式+维度对应值】组成,业务数据的数据权限就是由多个数据规则组成的范围控制。具体模型如下:

图片

接入流程

那么,本套多系统权限控制系统,到底该如何接入呢?大致流程如下:

图片

按照此通用方案,数据控制整体接入过程如下:

业务确定需要数据权限接入的功能。

产品、开发、业务确认功能的维度。

运营在开发的支持下在运营管理端配置数据权限,包括支持的维度、表达式、固定值等等。如需自定义维度对应值,实现对应端口。

各系统管理员登录各自的数据权限配置端,设置每个角色的数据规则。

客户访问系统的具体功能,根据客户的角色,获得数据规则,根据数据规则组装业务数据返回。

接入案例-订单列表

订单是很常见的系统功能,当前,需要对不同员工查看订单的数据范围做控制,根据员工所属的部门不同,查看对应部门的订单列表。

步骤一:确定系统、功能、维度

系统:xxx系统 功能:订单列表 维度:部门

步骤二:管理端配置数据权限

图片

步骤三:业务方接入 Sdk,实现自定义维度(部门)选择项配置端口

示意代码


List getDimensionOptionList(List dimensionCodes);

步骤四: 对应api查询数据接口接入 Sdk,完成数据过滤

步骤五: 系统管理员配置角色数据权限

只要完成以上5步,就实现了接入数据权限的功能。整个流程只有接入 Sdk 的成本,1天内即可完成,快速、高效,极大的降低了成本。同时公司内所有系统都拥有了一套完整统一的权限控制系统。

Sdk 如何进行数据权限控制

那么,底层究竟是如何实现数据权限控制的?

以下是一个请求的控制链路:

图片

权限 Sdk 是真正实现权限控制的核心组件。

图片

Sdk 中的基石是一个个对外开放的端口,其中最底层的是上下文端口。接入方需实现这个端口接口,根据当前缓存用户封装数据权限上下文。如有自定义维度,需实现自定义维度选择项端口,返回业务自定义的维度选择项。

数据权限生效实现过程如下:

请求 Path 被 Sdk 拦截,通过正则匹配配置的权限 Api,匹配到说明需要被控制。

在功能接口中,Sdk 根据上下文端口获取当前请求上下文,根据上下文获取对应用户所有角色的数据权限。

根据数据权限设置的配置,组装权限控制的条件。

业务方查询时加上权限控制条件,得到的数据,就是控制了数据权限后的数据。

ps:本sdk只针对java语言的后端

如果业务方使用的是 MyBatis 的 Xml 原生语句, Sdk 会把所有的数据权限组装成对应的 Sql 片段,自动对XML查询注入该 Sql 片段;如果使用的是 MyBatis-plus 的 QueryWrapper 方式,Sdk 会把所有的数据权限自动注入到生成的 QueryWrapper 条件中。

业务方也可以自主使用权限控制配置查询数据,关闭 Sdk 的自动注入。

问题
思考

还有更多的类似问题,都是多系统数据权限控制需要解决的。虽然具体到每个小点,单从技术的角度来说,可能未必很难,但要支持更多系统,具备更好的通用化,还有很长的一段路可走。这是一个会随着业务的发展,需要持续改进的工作。

来源:政采云技术内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯