对于一个企业级的平台或系统或站点,权限模块或系统是必不可少的。权限管控,即权力限制,不同的人由于拥有不同权力,他所看到的、能使用的东西不一样。对应到一个应用系统,其实就是一个用户可能拥有不同的数据权限(看到的)和操作权限(使用)。数据包括:菜单、列表、记录详情等,操作包括:新增,查看,编辑,删除等。
主流权限模型主要分为以下五种:
访问控制列表,Access Control List,ACL是最早的、最基本的一种访问控制机制,是基于客体进行控制的模型,在其他模型中也有ACL的身影。为了解决相同权限的用户挨个配置的问题,后来也采用用户组的方式。
原理:每一个客体都有一个列表,列表中记录的是哪些主体可以对这个客体做哪些行为,非常简单。
例如:当用户A要对一篇文章进行编辑时,ACL会先检查一下文章编辑功能的控制列表中有没有用户A,有就可以编辑,无则不能编辑。再例如:不同等级的会员在产品中可使用的功能范围不同。
缺点:当主体的数量较多时,配置和维护工作就会成本大、易出错。
自主访问控制,Discretionary Access Control,ACL的一种拓展。
原理:在ACL模型的基础上,允许主体可以将自己拥有的权限自主地授予其他主体,所以权限可以任意传递。
例如:常见于文件系统,LINUX等操作系统都提供DAC的支持。
缺点:对权限控制比较分散,例如无法简单地将一组文件设置统一的权限开放给指定的一群用户。主体的权限太大,无意间就可能泄露信息。
强制访问控制,Mandatory Access Control,MAC模型中主要的是双向验证机制。常见于机密机构或者其他等级观念强烈的行业,如军用和市政安全领域的软件。
原理:主体有一个权限标识,客体也有一个权限标识,而主体能否对该客体进行操作取决于双方的权限标识的关系。
例如:将军分为上将>中将>少将,军事文件保密等级分为绝密>机密>秘密,规定不同军衔仅能访问不同保密等级的文件,如少将只能访问秘密文件;当某一账号访问某一文件时,系统会验证账号的军衔,也验证文件的保密等级,当军衔和保密等级相对应时才可以访问。
缺点:控制太严格,实现工作量大,缺乏灵活性。
基于属性的访问控制,Attribute-Based Access Control,能很好地解决RBAC的缺点,在新增资源时容易维护。
原理:通过动态计算一个或一组属性是否满足某种机制来授权,是一种很灵活的权限模型,可以按需实现不同颗粒度的权限控制。
属性通常有四类:
例如:早上9:00,11:00期间A、B两个部门一起以考生的身份考试,下午14:00,17:00期间A、B两个部门相互阅卷。
缺点:规则复杂,不易看出主体与客体之间的关系,实现非常难,现在应用的很少。
基于角色的权限访问控制,Role-Based Access Control。每个用户可以拥有多个角色,每个角色可以拥有多个权限。核心在于用户只和角色关联,而角色代表权限,是一系列权限的集合。基于角色的访问控制遵守最小特权,应该授予所需要的完成其任务的最小角色,这样可以防止用户干坏事。
RBAC三要素:
在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。
角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系同样也存在继承关系防止越权。
RBAC是一种用户-角色-权限的授权模型,RBAC模型可以分为:RBAC0基本模型、RBAC1角色的分层模型、RBAC2约束模型、RBAC3统一模型四个阶段,一般公司使用RBAC0的模型就可以。RBAC0相当于底层逻辑,后三者都是在RBAC0模型上的拔高。
用户和角色、角色和权限多对多关系。一个用户可以拥有多个角色,一个角色可以被多个用户拥有,用户和角色是多对多关系;同样角色和权限也是多对多关系。RBAC0模型如下图:
相对于RBAC0模型,增加角色分级的逻辑,类似于树形结构,引入角色继承概念,即下一节点继承上一节点的所有权限,如role1根节点下有role1.1和role1.2两个子节点
角色分级的逻辑可以有效的规范角色创建(主要得益于权限继承逻辑)。比如CRM系统有上下级职级概念(经理、主管、专员),如果采用RBAC0模型做权限系统,需要为经理、主管、专员分别创建角色(角色之间权限无继承性),极有可能出现一个问题,由于权限配置错误,主管拥有经理都没有权限。
而RBAC1模型就很好解决这个问题,创建完经理角色并配置好权限后,主管角色的权限继承经理角色的权限,并且支持针对性删减主管权限。
基于RBAC0模型,对角色增加更多约束条件,引入互斥角色的限制。还约束一个用户拥有的角色是有限的,一个角色拥有的权限是有限的,以及想要获取较高权限,首先需要拥有一个低级权限
如角色互斥,比较经典的案例是财务系统中出纳不得兼管稽核,则在赋予财务系统操作人员角色时,同一个操作员不能同时拥有出纳和稽核两个角色。
如角色数量限制,如:一个公司的CEO角色只能有1个。限制有多少用户能拥有这个角色。
RBAC2模型主要是为了增加角色赋予的限制条件,这也符合权限系统的目标:权责明确,系统使用安全、保密。
同样是基于RBAC0模型,但是综合RBAC1和RBAC2的所有特点。
RBAC权限模型由三大部分构成,即用户管理、角色管理、权限管理。
用户管理按照企业架构或业务线架构来划分,这些结构本身比较清晰,扩展性和可读性都非常好。
角色管理一定要在深入理解业务逻辑后再来设计,一般使用各部门真实的角色作为基础,再根据业务逻辑进行扩展。
权限管理是前两种管理的再加固,做太细容易太碎片,做太粗又不够安全,这里我们需要根据经验和实际情况来设计。
其他注意事项
实现不够好的RBAC模型存在诸多问题,后期需要超管角色,项目的owner投入很大精力去维护:
user_role_mapping
表,需逻辑删除离职用户的全部角色的映射关系当然前两点可以通过定时任务实现。但是还有未列举完全的其他问题,怎么解决?
鄙人负责重构的一款数据平台,设计一套基于用户和数据的权限系统,请参考。