安全 - 基于角色的访问控制

学习完整课程请移步 互联网 Java 全栈工程师

以角色为基础的访问控制(Role-based access control, RBAC),是资讯安全领域中,一种较新且广为使用的访问控制机制,其不同于强制访问控制以及自由选定访问控制直接赋予使用者权限,而是将权限赋予角色。是一套较强制访问控制以及自由选定访问控制更为中性且更具灵活性的访问控制技术。

什么是 RBAC

RBAC 模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。

访问控制可以简单表述为:判断谁(Who)对什么(What/Which)进行怎样(How)的操作是否为真。

在 RBAC 中,用户的权限不是在用户本身上进行管理的,用户的权限是由用户所处的角色所决定的。在权限管理中,通过角色这一桥梁将用户与权限联系起来。用户和角色、角色与权限是一个多对多的关系。

与 RBAC 访问控制相关的概念有:

  1. 用户(User):一个具有唯一标识符的用户,与权限相分离,只能通过所属的 Role 去关联权限,一个用户可以拥有多项角色;
  2. 角色(Role):一定数量的权限的集合,角色可以继承,一个角色对应多项权限;
  3. 权限(Resource):也可以看作是资源,它对应了应用系统中的一个功能;

设计对应的数据表结构

这里使用的是 ThinkPHP 的表结构,字段设置符合功能的设计要求。

用户表

第一个表是 用户表,都是一些很常用的字段,比较好理解

CREATE TABLE `think_user` (
    `id` smallint(5) UNSIGNED NOT NULL AUTO_INCREMENT,
    `account` varchar(64) NOT NULL,
    `nickname` varchar(50) NOT NULL,
    `password` char(32) NOT NULL,
    `email` varchar(50) NOT NULL,
    `remark` varchar(255) NOT NULL,
    `create_time` int(11) UNSIGNED NOT NULL,
    `status` tinyint(1) DEFAULT '0',
    PRIMARY KEY (`id`),
    UNIQUE `account` (`account`)
) ENGINE = MyISAM AUTO_INCREMENT = 1 CHARSET = utf8

角色表

第二个是 角色表,也可以理解为分组表

CREATE TABLE IF NOT EXISTS `think_role` (
    `id` smallint(6) UNSIGNED NOT NULL AUTO_INCREMENT,
    `name` varchar(20) NOT NULL,
    `pid` smallint(6) DEFAULT NULL,
    `status` tinyint(1) UNSIGNED DEFAULT NULL,
    `remark` varchar(255) DEFAULT NULL,
    PRIMARY KEY (`id`),
    KEY `pid` (`pid`),
    KEY `status` (`status`)
) ENGINE = MyISAM CHARSET = utf8;

角色—用户—关系映射表

第三个是 角色—用户—关系映射表,注意,这个表的数据,可以是多对多的关系,也就是多个角色对应一个用户,多个用户对应一个角色。在我的实际使用中,没有涉及到一个用户对应多个角色的情况,也是为了简化操作。

CREATE TABLE IF NOT EXISTS `think_role_user` (
    `role_id` mediumint(9) UNSIGNED DEFAULT NULL,
    `user_id` char(32) DEFAULT NULL,
    KEY `group_id` (`role_id`),
    KEY `user_id` (`user_id`)
) ENGINE = MyISAM CHARSET = utf8;

资源表

第四个是节点表,也就是资源表,要注意的两个字段:pid 用来关联节点的层级,level 用来说明该节点是 应用 ,还是模块和操作。

CREATE TABLE IF NOT EXISTS `think_node` (
    `id` smallint(6) UNSIGNED NOT NULL AUTO_INCREMENT,
    `name` varchar(20) NOT NULL,
    `title` varchar(50) DEFAULT NULL,
    `status` tinyint(1) DEFAULT '0',
    `remark` varchar(255) DEFAULT NULL,
    `sort` smallint(6) UNSIGNED DEFAULT NULL,
    `pid` smallint(6) UNSIGNED NOT NULL,
    `level` tinyint(1) UNSIGNED NOT NULL,
    PRIMARY KEY (`id`),
    KEY `level` (`level`),
    KEY `pid` (`pid`),
    KEY `status` (`status`),
    KEY `name` (`name`)
) ENGINE = MyISAM CHARSET = utf8;

权限访问表

最后,也是最关键的表 权限访问表,这个表中的数据,是每个角色对应的权限。理解这个表的结构,也就明白了整个 RBAC 的关键。

CREATE TABLE IF NOT EXISTS `think_access` (
`role_id` smallint(6) UNSIGNED NOT NULL,
`node_id` smallint(6) UNSIGNED NOT NULL,
`level` tinyint(1) NOT NULL,
`module` varchar(50) DEFAULT NULL,
KEY `groupId` (`role_id`),
KEY `nodeId` (`node_id`)
) ENGINE = MyISAM CHARSET = utf8;

通过以上五张表即可完成基于 RBAC 的权限控制。当然,上面提到的都是整个权限管理的基础数据,也就是需要配置的数据。下一步,就是要在用户登录的时候,获取对应的权限。

获取用户的权限列表的方法

  1. 查询用户所属的角色 ID;
  2. 根据角色 ID 从 ACCESS 表中获取该角色所能访问的节点列表;
  3. 从 NODE 中查询节点列表的相关信息;
  4. 对产生的节点列表信息进行处理,生成访问决策列表保存到 SESSION 中;
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,504评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,434评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,089评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,378评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,472评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,506评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,519评论 3 413
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,292评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,738评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,022评论 2 329
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,194评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,873评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,536评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,162评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,413评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,075评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,080评论 2 352

推荐阅读更多精彩内容