недавно,В интервью другу задали вопрос, как спроектировать «Разрешениясистема». Мы заметили, что многие бэкэнды в настоящее время используют политики контроля доступа RBAC (включая некоторые популярные платформы быстрой разработки Ruoyi). Эта стратегия работает путем предоставления персонажу Разрешения.,Затем дайте пользователю Назначение роли.,Добиться контроля доступа к ресурсам системы. сегодня,Мы подробно объясним Разрешениясистему на основе RBAC.

RBAC-SYS.jpg

Описание RBAC

RBAC (управление доступом на основе ролей) — это модель управления доступом, основной концепцией которой является назначение разрешений на основе ролей. Целью разработки этой модели является упрощение управления доступом к системным ресурсам и повышение безопасности и удобства обслуживания системы.

Внедрение RBAC обычно включает в себя следующие этапы:

• Проектируйте роли и иерархии Разрешения.
• Назначьте пользователям соответствующие роли.
• Свяжите Разрешения с ролями, чтобы сформировать матрицу контроля доступа.
• проходить Управление Механизм сеансами поддерживает эффективность Разрешения.

RBAC-MODULE.png

Вот некоторое описание системы разрешений RBAC:

определение роли

В системе RBAC роль — это набор взаимосвязанных разрешений. Роль может представлять функцию, должность или ответственность пользователя. Например, ролями могут быть системный администратор, обычный пользователь, аудитор и т. д. В системах разрешений некоторых предприятий принятая ими трехсторонняя система разрешений контролируется с помощью ролей и типов пользователей.

Определение разрешения

Разрешения представляют собой права доступа к системным ресурсам или операциям, включая различные уровни доступа, такие как чтение, запись, выполнение и другие операции. Обычно разрешения связаны с конкретными задачами или действиями, такими как доступ к определенным файлам, изменение информации о пользователе и т. д. В нашей системе разрешений степень детализации разрешений обычно уточняется до уровня кнопок управления на странице. Некоторые системы также включают разрешения на доступ к данным, например, возможность доступа к данным текущего отдела и его подчиненных отделов или возможность просмотра данных только из определенной системы и т. д.

Назначение ролей

Пользователи получают соответствующие разрешения, назначаясь одной или нескольким ролям. Это упрощает управление разрешениями, поскольку больше нет необходимости напрямую назначать разрешения каждому пользователю, а нужно только управлять взаимосвязью между ролями и разрешениями.

Разрешительная ассоциация

Каждая роль связана с определенными разрешениями. Это означает, что когда пользователю назначается роль, он автоматически получает разрешения, связанные с этой ролью. Эта ассоциация может быть достигнута с помощью матрицы управления доступом или аналогичной структуры.

Управление сеансами

пользователь Авторизоватьсясистеманазад,Механизм управления сеансами отвечает за поддержание разрешения, связанного с ролью пользователя. Как только сессия закончится,Обычно срабатывает автоматический отзыв Разрешения. Обычно мы храним сеанс в Redis.,И установите время истечения срока действия для управления сеансом. Срок действия будет обновляться при посещении пользователем,Обеспечьте валидность сеанса.

Аудит и мониторинг

Система RBAC обычно включает в себя функции аудита и мониторинга для регистрации действий пользователей, изменений решений и посещений системы. Это помогает обнаружить потенциальные проблемы безопасности и обеспечить соответствие требованиям.

Динамическая регулировка:

Система RBAC позволяет динамически настраивать связь между ролями и разрешениями во время выполнения. Такая гибкость позволяет системе адаптироваться к меняющимся организационным структурам и потребностям бизнеса.

Особенности RBAC

• упрощатьуправлять

Интегрируя Разрешительную ассоциацию в роли, RBAC упрощает Разрешенияуправлять для крупных пользователей.

• гибкость

Модель RBAC обладает высокой гибкостью и может регулировать отношения между ролями и разрешениями в соответствии с потребностями организации.

• Уменьшите количество ошибок

Уменьшая необходимость напрямую назначать разрешения пользователям, RBAC снижает риски безопасности системы, вызванные неправильной авторизацией.

Проектирование таблиц базы данных

ER-диаграмма таблицы базы данных выглядит следующим образом:

RBAC-ER.png

Конкретная конструкция стола выглядит следующим образом:

sys_menu

Примечания к таблице: Таблица разрешений меню

sys_role

Примечания к таблице: Таблица с информацией о ролях

sys_role_menu

Примечания к таблице: Таблица ассоциации ролей и меню

sys_user

Примечания к таблице: Таблица информации о пользователе

sys_user_role

Примечания к таблице: Таблица ассоциации пользователей и ролей

sys_logininfor

Примечания к таблице: Таблица журнала входа в систему

Подвести итог

Являясь надежным и мощным механизмом контроля доступа, система разрешений RBAC обеспечивает прочную основу для безопасности системы. Глубоко понимая основные концепции и принципы работы RBAC, мы можем лучше применять эту модель, чтобы гарантировать, что система достигает оптимальной производительности в управлении доступом, одновременно улучшая удобство обслуживания и гибкость системы. В некоторых системах введены такие функции, как временные роли и базовые роли, основанные на системе ролей RBAC, для дальнейшего повышения гибкости и адаптируемости RBAC.