《玩轉細粒度許可權管理》 三,使用者角色許可權RBCA
第三章
使用者角色許可權RBCA
第一章介紹了專業細粒度許可權管理軟體 Metadmin 的安裝。第二章講解了對於 WEB 頁面的控制。哪些頁面需要登入才能訪問,哪些頁面不需要登入就能訪問。需要登入的頁面,又如何頁面訪問許可權呢?即具有什麼樣角色的人才能訪問。
本章詳細講解使用者角色許可權關係。這也就是 RBCA(Role Based Access Control ,基於角色的訪問控制 ) 。功能級許可權控制到本章為止,就介紹完畢。下章開始介紹細粒度許可權控制。
場景介紹
基於角色控制模型已經深入人心,關係並不複雜,廣泛運用於各個系統。通過給使用者賦予角色、角色擁有許可權的模式,達到控制使用者具有許可權的目的。同時,還複用了角色,這樣可以讓多個相同職務(或職能)的人擁有同樣的角色。
比如:
- 張三是管理員,他可以修改系統配置引數;
- 李四是客服人員,他可以呼叫客戶,處理客戶反饋;
- 王五是銷售人員,他可以下訂單,維護客戶資料。
RBAC 侷限性
通過這種定義方式,只要擁有該許可權的人,訪問該資源的時候,會產生相同的效果。比如:李四是北京客服人員,而洪七是上海客服人員,他們呼叫的客戶範圍是不同的。
如果,定義北京客戶人員,上海客戶人員 2 種角色,那麼如果有多個地方,這維護起來太費力。
如果,給李四和洪七的使用者名稱下,分配資源。就是有些網友提出的解決方案:使用者--資源表。那麼每個使用者都要維護一次,每個客戶維護一次,這更費力。
顯然上述兩種方案,都不可取。因為,這些都屬於細粒度、資料級的許可權控制, RBAC 模型無能為力。這種細粒度控制下章開始介紹。
資料庫模型
基本資訊表
許可權定義,要包含以下幾大類資訊:
1, 該許可權的基本資訊;
2, 一般會將整個系統許可權看成一棵樹,該許可權在許可權樹上的位置;
3, 該許可權對應的資源,一般為 WEB URL 。
那麼許可權表有這麼幾個欄位: id, name, description, parented, url, target
角色定義非常簡單: id, name, description
使用者表就不多說了,這是一個業務領域的表。不同系統,使用者表結構是不一樣的。
許可權關係表
角色、許可權關係表: id, privilegeId, roleId ,一個角色可以擁有多個許可權,一個許可權可以被多個角色擁有,多對多關係。
使用者、角色關係表: id, userId, roleId ,同樣是多對多關係。
判斷邏輯
指定使用者、指定許可權,判斷該使用者是否擁有該許可權。
select roleId from 使用者、許可權管理系表 where userId=? and roleId in( select roleId from 角色、許可權關係表where privilegeId=?)
如果有記錄,表明該使用者擁有該許可權,否則表示不擁有。
如果使用 Metadmin
Metadmin 是細粒度許可權管理中介軟體,可以在 www.metadmin.com 下載試用版。以下介面均引用下載程式包裡面的演示示例。
在安裝使用者元資料檔案的時候, Metadmin 會自動建立相關許可權表(許可權表、角色表、許可權角色關係表、角色使用者關係表)。在 RBAC 控制方面, Metadmin 提供如下服務:
1, 自動建立相關資料庫表;
2, 維護許可權、角色、給使用者授權,整套後臺程式以及前臺介面;
3, 提供許可權認證 API ,供業務系統呼叫。
開發者只要在業務方法裡面呼叫 API 即可,不需要做任何程式開發。
許可權介面及常量匯出
許可權維護介面:樹形結構
許可權定義維護介面:輸入項引數
常量匯出介面:匯出定義的許可權,開發者將這些常量放入自定義的常量類裡面,方便以常量的形式引用各種許可權。
其他介面
其他管理介面,建立角色、給角色分配許可權,給使用者分配許可權。這些沒有什麼特殊之處,僅貼出給角色分配許可權介面,其他不再多說了。
給角色分配許可權介面:
API
就功能許可權方面, Metadmin 提供如下 2 個 API :
MetadminService 類:
static boolean |
(int privilegeId, User user) |
WebMetadminService 類,更方面給 WEB 程式呼叫的,自動從 req 裡面讀取使用者:
static boolean |
(HttpServletRequest req, int privilegeId) |
Metadmin 對於應用安全的考慮
細心的讀者,肯定會問:
1, 給使用者分配角色是業務管理職責,建立角色、許可權,維護角色、許可權關係是系統管理員職責。這樣籠統的提供一個介面,讓大家都能使用,這種做法不可取。
2, 即便是給使用者分配角色,不同業務管理員可以分配的使用者範圍是不同的。
是的, Metadmin 對此持有相同看法。為此, Metadmin 預定義了 3 個許可權:角色管理、給使用者分配角色和策略管理三種角色。
如圖示:
擁有“角色管理”許可權的使用者,可以增加、刪除、修改角色,維護角色擁有的許可權;
擁有“給使用者分配角色”許可權的使用者,可以管理使用者具有的角色。至於該使用者能夠檢視到哪些使用者, Metadmin 也預留了控制功能。如何控制在此暫時不表。
擁有“策略管理”許可權的使用者,能夠進行細粒度許可權管理工作,制定許可權策略。如何制定許可權策略,以後章節會逐步介紹。
為了讓對 Metadmin 介面訪問許可權生效,還需要對 web.xml 進行修改。將 secured 引數值由 false 改為 true 。
如圖示: