用户角色及权限管理设计实例(基于RBAC模型)
文章目录权限控制权限控制RBAC(Role-Based Access Control),基于角色的访问控制。做权限控制系统最常见的方式就是基于此模型的。它的基本思想就是:把资源能否访问、操作能否执行设定为权限;设定不同角色配对权限,使某种权限在某种角色下为被允许状态;最后再根据现实的组织方式为每用户分配角色。以电视剧《潜伏》为背景举例,我们要为保密局天津站建设一个管理系统,这里就要理清相关人员的各
1. 五张表模型
RBAC(Role-Based Access Control),基于角色的访问控制。做权限控制系统最常见的方式就是基于此模型的。它的基本思想就是:把资源能否访问、操作能否执行设定为权限;设定不同角色配对权限,使某种权限在某种角色下为被允许状态;最后再根据现实的组织方式为每用户分配角色。由此构建 5 个表:
| 编号 | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|
| 名称 | 用户表 | 角色表 | 权限表 | 用户角色关系表 | 角色权限关系表 |
| 表名 | sys_users | sys_roles | sys_perms | rel_user_role | rel_role_perm |
其中:
- 用户和角色关系为多对多;
- 角色与权限关系也是多对多。
2. 需求分析
以电视剧《潜伏》为背景举例,我们要为保密局天津站建设一个管理系统,这里就要理清相关人员的各种关系。
天津站的组织关系(用户、角色、用户角色关系)如下
- 一把手是站长吴敬中,下设两个部门:机要室和行动队。
- 机要室主任为余则成。
- 行动队由队长马奎,还有两个小喽啰米志国、陈北伐组成。
- 此外,余则成还是站长的学生(心腹下属)。
保密局的日常工作有这几项(权限):
- 监听电报。监听截获内外界各组织的电报;
- 打电话。给南京打电话,给站长太太打电话、给穆连成打电话,以及给绣春楼打电话;
- 派人跟穆晚秋谈恋爱。从而榨取穆连成财宝;
- 帮站长收别人送的一辆小汽车。斯蒂庞克牌的。
很显然,上边这些任务不是人人能做(角色权限关系):
- 电话大家都能用;
- 电讯室的电报不能让小喽啰随便听;
- 跟穆晚秋谈恋爱、代收小汽车都是帮站长敛财的私事,只能让心腹余则成去做。
因此,以上关系可梳理为下图所示
3. 数据库设计
据上,理出用户、角色、权限、用户-角色、角色-权限的关系如下图,这就是常见的权限5表。当然现实应用中的表不可能就这么两三列,为了简化绘图这里只显示了关键属性,其他需要随意添加哈。
对应的,构建数据库表。
1. 用户表(sys_users)
| id | name |
|---|---|
| 1 | 吴敬中 |
| 2 | 余则成 |
| 3 | 马奎 |
| 4 | 米志国 |
| 5 | 陈北伐 |
2. 角色表(sys_roles)
| id | name |
|---|---|
| 1 | 站长 |
| 2 | 机要室主任 |
| 3 | 行动队队长 |
| 4 | 小喽啰 |
| 5 | 站长心腹 |
3. 权限表(sys_perms)
| id | operation |
|---|---|
| 1 | 监听电报 |
| 2 | 打电话 |
| 3 | 和晚秋搞对象 |
| 4 | 代收斯蒂庞克 |
4. 用户-角色表(rel_user_role)
| id | uid | rid | *解释 |
|---|---|---|---|
| 1 | 1 | 1 | 吴敬中 -> 站长 |
| 2 | 2 | 2 | 余则成 -> 机要室主任 |
| 3 | 2 | 5 | 余则成 -> 站长心腹 |
| 4 | 3 | 3 | 马奎 -> 行动处长 |
| 5 | 4 | 4 | 米志国 -> 小喽啰 |
| 6 | 5 | 4 | 陈北伐 -> 小喽啰 |
5. 角色-权限表(rel_role_perm)
| id | rid | pid | *解释 |
|---|---|---|---|
| 1 | 1 | 1 | 站长 -> 监听电报 |
| 2 | 1 | 2 | 站长 -> 打电话 |
| 3 | 2 | 1 | 机要室主任 -> 监听电报 |
| 4 | 2 | 2 | 机要室主任 -> 打电话 |
| 5 | 3 | 1 | 行动处长 -> 监听电报 |
| 6 | 3 | 2 | 行动处长 -> 打电话 |
| 7 | 4 | 2 | 小喽啰 -> 打电话 |
| 8 | 5 | 3 | 站长心腹 -> 和晚秋谈恋爱 |
| 9 | 5 | 4 | 站长心腹 -> 代收斯蒂庞克 |
4. 用户分组
用户数量大且可分组授权时,添加 3 个表。
- 用户组
- 用户-用户组
- 用户组-权限
米志国和陈北伐同属 行动二科 的小喽啰,他们具有相同权限,因此将上面数据库设计的表结构更为
1. 用户组表(sys_groups)
| id | name |
|---|---|
| 1 | 行动二科 |
2. 用户-组表(rel_user_group)
| id | uid | gid | *解释 |
|---|---|---|---|
| 1 | 4 | 1 | 米志国 -> 行动二科 |
| 2 | 5 | 1 | 陈北伐 -> 行动二科 |
3. 组-角色表(rel_group_role)
| id | gid | rid | *解释 |
|---|---|---|---|
| 1 | 1 | 4 | 行动二科 -> 小喽啰 |
5. 权限分类
基于 Web 的应用主要通过 URL 来实现对不同资源的控制,如查看页面、访问数据等。所以权限指的其实就是对 URL 的控制。一个角色有多少个权限就取决于他有多少个 URL 的访问权限。
当然也可以将一个网站资源的权限进行再次划分,分为菜单、导航栏、页面元素和功能操作(根据需要,不一定非拆分)。
6. 参考
[1]. 用户,用户组,角色,权限
https://blog.csdn.net/qq_30519491/article/details/80941201
[2]. RBAC(基于角色的访问控制权限的基本模型)
https://blog.csdn.net/weixin_41174072/article/details/83387223
[3]. RBAC权限管理系统
https://www.cnblogs.com/zenan/p/10576489.html
[4]. rbac 表结构的。设计
https://www.cnblogs.com/chengege/p/10695713.html
.
.
.
.
.
.
桃花仙人种桃树,又摘桃花换酒钱_
快速构建 Web 应用程序
更多推荐
18
0- 0
已为社区贡献1条内容
所有评论(0)