權(quán)限模型

迄今為止最為普及的權(quán)限設(shè)計(jì)模型是RBAC模型,基于角色的訪問控制（Role-Based Access Control)

RBAC0模型

這是權(quán)限最基礎(chǔ)也是最基礎(chǔ)且核心的模型，它包括用戶/角色/權(quán)限,其中用戶和角色是多對(duì)多的關(guān)系,角色和權(quán)限也是多對(duì)多的關(guān)系。

image

• 用戶是發(fā)起操作的主體,按類型分可分為2B和2C用戶,可以是后臺(tái)管理系統(tǒng)的用戶,可以是OA系統(tǒng)的內(nèi)部員工,也可以是面向C端的用戶,比如阿里云的用戶。

• 角色起到了橋梁的作用,連接了用戶和權(quán)限的關(guān)系,每個(gè)角色可以關(guān)聯(lián)多個(gè)權(quán)限,同時(shí)一個(gè)用戶關(guān)聯(lián)多個(gè)角色,那么這個(gè)用戶就有了多個(gè)角色的多個(gè)權(quán)限。

角色加入的原因

有人會(huì)問了為什么用戶不直接關(guān)聯(lián)權(quán)限呢?在用戶基數(shù)小的系統(tǒng),比如20個(gè)人的小系統(tǒng),管理員可以直接把用戶和權(quán)限關(guān)聯(lián),工作量并不大,選擇一個(gè)用戶勾選下需要的權(quán)限就完事了。

但是在實(shí)際企業(yè)系統(tǒng)中,用戶基數(shù)比較大,其中很多人的權(quán)限都是一樣的,就是個(gè)普通訪問權(quán)限,如果管理員給100人甚至更多授權(quán),工作量巨大。

這就引入了"角色(Role)"概念,一個(gè)角色可以與多個(gè)用戶關(guān)聯(lián),管理員只需要把該角色賦予用戶,那么用戶就有了該角色下的所有權(quán)限,這樣設(shè)計(jì)既提升了效率,也有很大的拓展性。

權(quán)限資源的類型

權(quán)限是用戶可以訪問的資源,包括頁面權(quán)限,操作權(quán)限,數(shù)據(jù)權(quán)限:

• 頁面權(quán)限: 即用戶登錄系統(tǒng)可以看到的頁面,由菜單來控制,菜單包括一級(jí)菜單和二級(jí)菜單,只要用戶有一級(jí)和二級(jí)菜單的權(quán)限,那么用戶就可以訪問頁面

• 操作權(quán)限: 即頁面的功能按鈕,包括查看,新增,修改,刪除,審核等,用戶點(diǎn)擊刪除按鈕時(shí),后臺(tái)會(huì)校驗(yàn)用戶角色下的所有權(quán)限是否包含該刪除權(quán)限,如果是,就可以進(jìn)行下一步操作,反之提示無權(quán)限。

  • 有的系統(tǒng)要求“可見即可操作”，意思是如果頁面上能夠看到操作按鈕，那么用戶就可以操作，要實(shí)現(xiàn)此需求，這里就需要前端來配合，前端開發(fā)把用戶的權(quán)限信息緩存，在頁面判斷用戶是否包含此權(quán)限，如果有，就顯示該按鈕；如果沒有，就隱藏該按鈕。某種程度上提升了用戶體驗(yàn)，但是在實(shí)際場(chǎng)景可自行選擇是否需要這樣做。

• 數(shù)據(jù)權(quán)限: 數(shù)據(jù)權(quán)限就是用戶在同一頁面看到的數(shù)據(jù)是不同的。比如，全國有很多城市和分公司,比如杭州用戶登錄系統(tǒng)只能看到杭州的數(shù)據(jù),上海用戶只能看到上海的數(shù)據(jù),解決方案一般是把數(shù)據(jù)和具體的組織架構(gòu)關(guān)聯(lián)起來

  • 舉個(gè)例子，再給用戶授權(quán)的時(shí)候，用戶選擇某個(gè)角色同時(shí)綁定組織如財(cái)務(wù)部或者合肥分公司，那么該用戶就有了該角色下財(cái)務(wù)部或合肥分公司下的的數(shù)據(jù)權(quán)限。

image

以上是RBAC的核心設(shè)計(jì)及模型分析,此模型也叫做RBAC0,而基于核心概念之上,RBAC還提供了擴(kuò)展模式。包括RBAC1,RBAC2,RBAC3模型。下面介紹這三種類型

RBAC1模型

此模型引入了角色繼承(Hierarchical Role)概念,即角色具有上下級(jí)的關(guān)系,角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系僅要求角色繼承關(guān)系是一個(gè)絕對(duì)偏序關(guān)系，允許角色間的多繼承。而受限繼承關(guān)系則進(jìn)一步要求角色繼承關(guān)系是一個(gè)樹結(jié)構(gòu)，實(shí)現(xiàn)角色間的單繼承。這種設(shè)計(jì)可以給角色分組和分層，一定程度簡(jiǎn)化了權(quán)限管理工作。

image

RBAC2模型

基于核心模型的基礎(chǔ)上，進(jìn)行了角色的約束控制，RBAC2模型中添加了責(zé)任分離關(guān)系，其規(guī)定了權(quán)限被賦予角色時(shí)，或角色被賦予用戶時(shí)，以及當(dāng)用戶在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。

責(zé)任分離包括靜態(tài)責(zé)任分離和動(dòng)態(tài)責(zé)任分離，主要包括以下約束:

• 互斥角色：同一用戶只能分配到一組互斥角色集合中至多一個(gè)角色，支持責(zé)任分離的原則。

  • 互斥角色是指各自權(quán)限互相制約的兩個(gè)角色，比如：財(cái)務(wù)部有會(huì)計(jì)和審核員兩個(gè)角色，他們是互斥角色，那么用戶不能同時(shí)擁有這兩個(gè)角色，體現(xiàn)了職責(zé)分離原則。

• 基數(shù)約束: 一個(gè)角色被分配的用戶數(shù)量受限；一個(gè)用戶可擁有的角色數(shù)目受限；同樣一個(gè)角色對(duì)應(yīng)的訪問權(quán)限數(shù)目也應(yīng)受限，以控制高級(jí)權(quán)限在系統(tǒng)中的分配。

• 先決條件角色: 即用戶想獲得某上級(jí)角色，必須先獲得其下一級(jí)的角色。

RBAC3模型

即最全面的權(quán)限管理，它是基于RBAC0，將RBAC1和RBAC2進(jìn)行了整合。

用戶組

當(dāng)平臺(tái)用戶基數(shù)增大，角色類型增多時(shí)，而且有一部分人具有相同的屬性，比如財(cái)務(wù)部的所有員工，如果直接給用戶分配角色，管理員的工作量就會(huì)很大，如果把相同屬性的用戶歸類到某用戶組，那么管理員直接給用戶組分配角色，用戶組里的每個(gè)用戶即可擁有該角色，以后其他用戶加入用戶組后，即可自動(dòng)獲取用戶組的所有角色，退出用戶組，同時(shí)也撤銷了用戶組下的角色,無須管理員手動(dòng)管理角色。

根據(jù)用戶組是否有上下級(jí)關(guān)系，可以分為有上下級(jí)的用戶組和普通用戶組：

• 具有上下級(jí)關(guān)系的用戶組：最典型的例子就是部門和職位，可能多數(shù)人沒有把部門職位和用戶組關(guān)聯(lián)起來吧。當(dāng)然用戶組是可以拓展的，部門和職位常用于內(nèi)部的管理系統(tǒng)，如果是面向C端的系統(tǒng)，比如淘寶網(wǎng)的商家，商家自身也有一套組織架構(gòu)，比如采購部,銷售部,客服部,后勤部等,有些人擁有客服權(quán)限,有些人擁有上架權(quán)限等等,所以用戶組是可以拓展的

• 普通用戶組: 即沒有上下級(jí)關(guān)系,和組織架構(gòu),職位都沒有關(guān)系,也就是說可以跨部門,跨職位,舉個(gè)例子,某電商后臺(tái)管理系統(tǒng),有拼團(tuán)活動(dòng)管理角色,我們可以設(shè)置一個(gè)拼團(tuán)用戶組,該組可以包括研發(fā)部的后臺(tái)開發(fā)人員,運(yùn)營部的運(yùn)營人員,采購部的人員等等。

含有組織/職位/用戶組的模型

image

根據(jù)系統(tǒng)的復(fù)雜度不同,其中的多對(duì)多關(guān)系和一對(duì)一關(guān)系可能會(huì)有變化,

在單系統(tǒng)且用戶類型單一的情況下,用戶和組織是一對(duì)一關(guān)系，組織和職位是一對(duì)多關(guān)系,用戶和職位是一對(duì)一關(guān)系，組織和角色是一對(duì)一關(guān)系,職位和角色是一對(duì)一關(guān)系,用戶和用戶組是多對(duì)對(duì)關(guān)系,用戶組和角色是一對(duì)一關(guān)系,當(dāng)然這些關(guān)系也可以根據(jù)具體業(yè)務(wù)進(jìn)行調(diào)整。模型設(shè)計(jì)并不是死的,如果小系統(tǒng)不需要用戶組,這塊是可以去掉的。

分布式系統(tǒng)且用戶類型單一的情況下,到這里權(quán)限系統(tǒng)就會(huì)變得很復(fù)雜,這里就要引入了一個(gè)"系統(tǒng)"概念,此時(shí)系統(tǒng)架構(gòu)是個(gè)分布式系統(tǒng),權(quán)限系統(tǒng)獨(dú)立出來,負(fù)責(zé)所有的系統(tǒng)的權(quán)限控制,其他業(yè)務(wù)系統(tǒng)比如商品中心,訂單中心,用戶中心,每個(gè)系統(tǒng)都有自己的角色和權(quán)限,那么權(quán)限系統(tǒng)就可以配置其他系統(tǒng)的角色和權(quán)限。

image