介绍
在当今的数字环境中,有效的访问管理对于保护资源和数据至关重要。基于角色的访问控制 (rbac) 系统提供了一种结构化方法来管理用户权限和角色。本博客概述了针对不同应用程序需求定制的 rbac 系统的两种变体:通用业务应用程序和企业业务应用程序。
为了说明这些概念,我们将提供管理访问控制的服务的演示代码片段,以及 rbac 系统中使用的每个表的详细说明。
rbac 系统组件
常见业务应用
对于大多数常见的业务应用程序,可以简化 rbac 系统以有效地管理角色和权限,而不会增加复杂性。关键组件是:
用户表
用途:存储用户信息,例如用户名、密码哈希、电子邮件和权限级别。
关键列:user_id、用户名、password_hash、电子邮件、部门、clearance_level
角色表
目的:定义应用程序中的角色,详细说明每个角色的名称和描述。
关键列:role_id、role_name、description
模块表
目的:列出应用程序模块或资源,描述其目的和功能。
关键列:module_id、module_name、description
模块_权限表
用途:指定与每个模块关联的权限,例如读或写访问权限。
关键列:module_permission_id、module_id、permission_type
角色_权限表
用途:将角色映射到模块权限,确定角色可以对模块执行哪些操作。
关键列:role_permission_id、role_id、module_permission_id
用户角色表
用途:管理用户和角色之间的关系,实现基于角色的访问控制。
关键列:user_role_id、user_id、role_id
企业业务应用
企业业务应用程序可能需要额外的组件来处理更复杂的访问控制需求。其中包括:
政策表
用途:定义额外的访问规则和条件,提供更精细的控制。
关键列:policy_id、policy_name、description
角色_策略表
目的:将角色与策略联系起来,允许角色受特定规则和条件的约束。
关键列:role_policy_id、role_id、policy_id
用户_策略表
目的:直接向用户分配策略,容纳个人权限。
关键列:user_policy_id、user_id、policy_id
政策_条件表
目的:指定策略的条件,例如上下文或基于属性的约束。
关键列:policy_condition_id、policy_id、condition_type、condition_value
contextual_权限表
用途:根据特定上下文应用策略,例如用户部门或位置。
关键列:contextual_permission_id、policy_id、context_type、context_value
temporal_constraint 表
用途:管理基于时间的访问,定义策略有效性的开始和结束时间。
关键列:temporal_constraint_id、policy_id、start_time、end_time
代表团表
用途:促进临时角色分配,允许用户委派具有指定到期日期的角色。
关键列:delegation_id、delegate_user_id、delegator_user_id、role_id、delegate_at、expiration_date
audit_log 表
用途:记录用户操作、模块交互和角色更改,以进行安全和合规性审核。
关键列:audit_log_id、user_id、action、module_id、role_id、时间戳、详细信息
演示代码:访问控制服务
这是 java 中 accesscontrolservice 的示例实现,演示了如何在动态 rbac 系统中管理访问控制。此示例涵盖了基本组件并说明了如何处理权限和策略。
import java.time.LocalDateTime;
import java.util.List;
@Service
@Transactional
public class AccessControlService {
@Autowired
private UserRepository userRepository;
@Autowired
private RoleRepository roleRepository;
@Autowired
private ModulePermissionRepository modulePermissionRepository;
@Autowired
private RolePermissionRepository rolePermissionRepository;
@Autowired
private UserRoleRepository userRoleRepository;
@Autowired
private PolicyRepository policyRepository;
@Autowired
private UserPolicyRepository userPolicyRepository;
@Autowired
private RolePolicyRepository rolePolicyRepository;
@Autowired
private PolicyConditionRepository policyConditionRepository;
@Autowired
private ContextualPermissionRepository contextualPermissionRepository;
@Autowired
private TemporalConstraintRepository temporalConstraintRepository;
@Autowired
private DelegationRepository delegationRepository;
public boolean hasAccess(String username, Long moduleId, String permissionType) {
// Fetch user
User user = userRepository.findByUsername(username);
if (user == null) {
return false;
}
// Check if user has any delegations
boolean hasDelegatedAccess = checkDelegatedAccess(user.getUserId(), moduleId, permissionType);
if (hasDelegatedAccess) {
return true;
}
// Check if user has direct access via roles
List<userrole> userRoles = userRoleRepository.findByUserId(user.getUserId());
for (UserRole userRole : userRoles) {
List<rolepermission> rolePermissions = rolePermissionRepository.findByRoleId(userRole.getRoleId());
for (RolePermission rolePermission : rolePermissions) {
ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
// Check if role has any associated policies
if (hasPolicyAccess(user.getUserId(), moduleId, permissionType, modulePermission.getModuleId())) {
return true;
}
}
}
}
return false;
}
private boolean checkDelegatedAccess(Long userId, Long moduleId, String permissionType) {
List<delegation> delegations = delegationRepository.findByDelegateUserId(userId);
LocalDateTime now = LocalDateTime.now();
for (Delegation delegation : delegations) {
// Check if delegation is expired
if (delegation.getExpirationDate() != null && delegation.getExpirationDate().isBefore(now)) {
continue;
}
List<rolepermission> rolePermissions = rolePermissionRepository.findByRoleId(delegation.getRoleId());
for (RolePermission rolePermission : rolePermissions) {
ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
return true;
}
}
}
return false;
}
private boolean hasPolicyAccess(Long userId, Long moduleId, String permissionType, Long modulePermissionId) {
// Check policies assigned directly to the user
List<userpolicy> userPolicies = userPolicyRepository.findByUserId(userId);
for (UserPolicy userPolicy : userPolicies) {
if (isPolicyValid(userPolicy.getPolicyId(), moduleId, permissionType)) {
return true;
}
}
// Check policies assigned to roles
List<userrole> userRoles = userRoleRepository.findByUserId(userId);
for (UserRole userRole : userRoles) {
List<rolepolicy> rolePolicies = rolePolicyRepository.findByRoleId(userRole.getRoleId());
for (RolePolicy rolePolicy : rolePolicies) {
if (isPolicyValid(rolePolicy.getPolicyId(), moduleId, permissionType)) {
return true;
}
}
}
return false;
}
private boolean isPolicyValid(Long policyId, Long moduleId, String permissionType) {
// Check policy conditions
List<policycondition> conditions = policyConditionRepository.findByPolicyId(policyId);
for (PolicyCondition condition : conditions) {
// Add logic to evaluate conditions based on conditionType and conditionValue
// e.g., Check if context or attribute matches the condition
}
// Check contextual permissions
List<contextualpermission> contextualPermissions = contextualPermissionRepository.findByPolicyId(policyId);
for (ContextualPermission contextualPermission : contextualPermissions) {
// Add logic to evaluate contextual permissions
// e.g., Check if current context matches the contextualPermission
}
// Check temporal constraints
List<temporalconstraint> temporalConstraints = temporalConstraintRepository.findByPolicyId(policyId);
for (TemporalConstraint temporalConstraint : temporalConstraints) {
LocalDateTime now = LocalDateTime.now();
if (now.isBefore(temporalConstraint.getStartTime()) || now.isAfter(temporalConstraint.getEndTime())) {
return false;
}
}
return true;
}}
登录后复制
结论
通过区分普通业务应用和企业业务应用,您可以定制您的rbac系统
以上就是为企业应用程序实施动态 RBAC 系统 - 简化的详细内容,更多请关注php中文网其它相关文章! 
CurtisPoozy2 个月前
发表在:关于我们Некоторые вебмастера...
Tommypoike3 个月前
发表在:关于我们hi
AmandaIncaboraa5 个月前
发表在:关于我们"我很想找出激励你的东西。 和我聊天 h...
AmandaIncabora25 个月前
发表在:关于我们我在等你的留言! 过来打个招呼! ...
AmandaIncaborac5 个月前
发表在:关于我们让我们今晚难忘...你的地方还是我的? ...
BryanDen6 个月前
发表在:关于我们Самый быстрый и безо...
91资源网站长-冰晨11 个月前
发表在:【账号直充】爱奇艺黄金VIP会员『1个月』官方直充丨立即到账丨24小时全天秒单!不错不错,价格比官方便宜
91资源网站长-冰晨11 个月前
发表在:2022零基础Java入门视频课程不错,学习一下