資料設計之許可權的實現

2022-08-04 14:03:24

前言

在專案實際開發中我們不光要控制一個使用者能存取哪些資源，還需要控制使用者只能存取資源中的某部分資料。

控制一個使用者能存取哪些資源我們有很成熟的許可權管理模型即RBAC，但是控制使用者只能存取某部分資源（即我們常說的資料許可權）使用RBAC模型是不夠的，本文我們嘗試在RBAC模型的基礎上融入資料許可權的管理控制。

首先讓我們先看下RBAC模型。

RBAC模型

RBAC是Role-BasedAccess Control的英文縮寫，意思是基於角色的存取控制。

RBAC事先會在系統中定義出不同的角色，不同的角色擁有不同的許可權，一個角色實際上就是一組許可權的集合。而系統的所有使用者都會被分配到不同的角色中，一個使用者可能擁有多個角色。使用RBAC可以極大地簡化許可權的管理。

RBAC模型還可以細分為RBAC0，RBAC1，RBAC2，RBAC3。這裡我們不討論他們之間的差異，感興趣的同學可以自行研究，我們主要聚焦於常見的RBAC0模型上。

如下圖就是一個經典RBAC0模型的資料庫設計。

在RBAC模型下，系統只會驗證使用者A是否屬於角色RoleX，而不會判斷使用者A是否能存取只屬於使用者B的資料DataB。這種問題我們稱之為“水平許可權管理問題”。

資料許可權

列表資料許可權，主要通過資料許可權控制行資料，讓不同的人有不同的檢視資料規則；要實現資料許可權，最重要的是需要抽象出資料規則。

資料規則

比如我們系統的商機資料，需要從下面幾個維度來控制資料存取許可權。

銷售人員只能看自己的資料；
各大區的銷售經理只能看各區域的資料（安徽大區的銷售經理看安徽區域的商機資料），同理也適用於某BG分管領導只能看所在BG的商機資料；
財務人員只能看金額小於一萬的資料。

上面的這些維度就是資料規則。

這樣資料規則的幾個重點要素我們也明晰了，就是規則欄位，規則表示式，規則值，

上面三個場景對應的規則分別如下：

規則欄位：建立人，規則表示式： = ，規則值：當前登入人
規則欄位：所屬大區，規則表示式： = ，規則值：安徽大區
規則欄位：銷售金額，規則表示式： < ，規則值：10000

規則欄位設定說明：

條件表示式：大於/大於等於/小於/小於等於/等於/包含/模糊/不等於
規則值：指定值 ( 固定值/系統上下文變數 )

關聯資源、使用者

光有資料規則是不夠的，我們還需要把資料規則跟資源和使用者進行繫結。

資料規則與資源的繫結很簡單，我們只需要建立一箇中間表即可，如下圖所示：

這樣資源就可以關聯上了資料規則。

在應用設計上我們需要一個單獨的資料規則管理功能，方便我們錄入資料規則，然後在資源管理頁面（比如商機列表）上就可以選擇內建的資料規則進行資源與規則的繫結。

那麼如何讓不同的使用者擁有不同的資料規則呢？

在RBAC模型中，使用者是通過授予不同的角色來進行資源的管理，同理我們可以讓角色在授予許可權的時候關聯上資料規則，這樣最終在系統上就體現為不同的使用者擁有不同的資料規則。

有點拗口，我們還是按上面的例子來說。

銷售人員、大區銷售經理、財務人員屬於不同的角色，他們都擁有商機列表這個資源許可權，但是在給這些角色系結商機列表資源許可權時我們可以勾選對應的資料規則（上面已經實現資源與資料規則的繫結）。體現在資料庫設計中我們可以在角色資源對應關係表 Role_Permission中新增一個欄位用於儲存關聯的資料規則，如果有多個資料規則可以使用分隔符分割。

最終RBAC模型演變成如下所示的模型：