权限管理系统设计
source link: https://blog.ops-coffee.cn/s/0xee6jzcucqxao9by1ulga
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
权限管理系统设计
上周分别分享了任务系统的两个主要功能:手动审批和并行任务,今天再来聊下任务系统的权限设计,实际上关于权限系统的设计并不只适用于任务系统,作为PAAS平台基础服务后续会贯穿所有的上层SAAS应用中
之前在写Probius的介绍文章时,大概提过Probius的权限设计,主要是RBAC+单独对象授权的方式,而本次任务系统的权限设计除了延续之前的授权方式外,还新增了非常重要的资源隔离,接下来简单的说下这三种授权方式的区别跟实现
熟悉Django的朋友都知道,Django是有自带的权限系统的,如果把Django里的Group看作Role且抛弃用户单独授权的话,那大概的授权流程就变成了将用户加入组,给组授予对应模块操作的权限,那用户就有了相应模块的权限,这个授权方式就跟常见的RBAC权限模型非常相似了
举例来说,假如用户A具有任务管理员角色,任务管理员角色拥有任务修改和任务执行权限,那用户A就拥有了任务修改和任务执行的权限,清晰易懂很好理解,用起来也很方便,但Django的默认权限控制粒度比较粗,控制的最小粒度是表,也就是说你如果给了任务修改的权限,那么用户将能够修改所有的任务,这对于不同人员维护不同项目的团队是无法很好授权的
关于Django的默认权限这篇文章有详细的介绍:Django默认权限机制介绍及实践,这里不再赘述了
针对Django默认权限控制粒度粗的问题,我在Probius中引入了对象权限,对象权限的最小控制粒度是表里的单条数据,既然想把不同的任务分配给不同的用户,那通过对象授权就能很好的解决
默认权限在对象授权的加持下能解决授权粒度太粗的问题,如果仅仅是需要任务执行这个功能需要单独授权的话还好,但是当需要授权的功能有N多个的时候就会非常崩溃了,每一个权限每一个资源都需要单独授权,管理起来非常繁琐,例如子任务的增删改查、模板的增删改查、执行用户的增删改查都需要单独授权,那再采用对象授权的方式就不敢想象了
关于Django的对象授权这篇文章有详细的介绍:Django Object Permission之Django-guardian使用详解,这里也不赘述了
默认权限的授权粒度太粗,而对象授权的授权粒度又太细,资源隔离就是在两者之间取一个平衡。这里所讲的资源隔离与通常所说的多租户以及云上的资源组概念类似,就是所有资源先按照业务或是项目进行隔离,我们是按项目维度进行隔离,用户所属项目,项目拥有相应的资源,那用户也就继承了项目的资源,这里的资源指的是数据表里的每一条数据,例如任务表下的每一条数据都算一个资源
举例来说,用户A隶属于OpsCoffee项目,OpsCoffee项目拥有任务ABCDE,那用户也就有了任务ABCDE的权限,至于是何种权限,修改还是删除还是执行那就配合默认权限来实现了。这种方式需要给所有的资源都先标记项目,我们默认项目下的成员对项目内的资源拥有权限,这样的话用户只对自己的项目资源有权限,资源粒度范围大大缩小了,同时也省去了每个资源单独授权的烦恼
资源隔离的实现逻辑比较简单,首先在所有需要资源隔离的表里添加project字段以标识资源隶属于哪个项目,后续所有的逻辑都会基于这个项目标识去处理
当用户进入页面时,先获取用户所有项目列表,然后判断浏览器Cookie里是否有project,如果有则默认选中project,如果没有则取第一个project并写入Cookie
当点击切换项目时会同时修改掉Cookie里的project值,然后重新加载页面,以保证当前页面的数据跟所选择的项目一致,对于页面数据的增删改查都默认传递project参数,后端会根据传入的project参数判断用户是否有权限,同时添加数据时也会默认加上传递的project值
需要注意的是,传递给后端的project不要去Cookie中获取,不然会出现多个浏览器窗口打开不同项目造成的数据错乱问题,我是直接从页面左上角的Select选择框获取当前项目传递给后端的
最终的权限管理方案是整体上采用RBAC+资源隔离的方式,仅对小部分非常敏感的数据再通过对象授权的方式做管控,这样在兼顾便捷性的同时也能做到很好的资源管控
RBAC:用户赋予角色,角色赋予模块操作的权限,则用户拥有对应模块的权限,资源隔离:用户隶属项目,项目拥有资源的权限,则用户继承对应资源的权限,两者结合的最终结果就是用户仅对自己所在项目的资源拥有部分模块操作的权限
能看到这里一定是真爱,关注一下吧
Recommend
-
45
前言 笔者最近参与了公司的几个业务的管理系统类项目,在这样的项目需求中,相对于所选择的前端技术栈以及前后端分离协同开发的模式。理解并实现后台项目的业务需求是其中的重点,其中,账户的登陆,以及权限验证与安全性是非...
-
44
本文基于面向某个垂直行业的SaaS系统的设计经验,抽象出一套适合中小企业的权限管理体系,目标是最大限度保留系统弹性的同时,把系统复杂度和开发成本尽可能降低。enjoy~ 面向企业级的SaaS(软件及服务)系统,由于企业用户的规模和内部管理模式千差万别,设计一套...
-
22
本文主要想对前端权限管理功能实现做一个分享,所以并不会对后台管理的框架结构做太详细介绍,如果有朋友对其他有兴趣可以留言。 基本设计和分析 前端 vue + elementui 服务端: node + mysql + nginx 主要功能 模仿的是思否论坛,
-
31
跟我学Springboot开发后端管理系统8:Matrxi-Web权限设计实现 2020/05/08 上篇...
-
10
SpringBoot+Shiro+LayUI权限管理系统项目-1.项目介绍_不负韶华,只争朝夕!-CSDN博客 SpringBoot+Shiro+LayUI权限管理系统项目-1.项目介绍
-
4
Golang 通用后台权限管理系统 (Go-Funny-CMS )线上地址演示https://admin-go.surest.cn 账号: surest 密码: 123456 前...
-
9
.NET Core/.NET5/.NET6 开源项目汇总5:权限管理系统项目 系列目录 ...
-
4
ReadMe.md 编辑器...
-
2
管理系统后端(java)请参考:https://blog.csdn.net/grd_java/article/details/121925792 本项目源码,码云:
-
1
Airbnb内部员工权限的访问管理系统设计 解道Jdon ...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK