基于RBAC权限管理
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于RBAC权限管理相关的知识,希望对你有一定的参考价值。
一般web系统操作人员多时都会需求权限管理,一来限制操作范围,二来限制数据公开度。
现在最流行的一个模式为 RBAC (Role-Based Access Control) 基于角色的访问控制。设定权限范围定义到角色中,然后再分配到每个用户。
这里仅以一般后台管理系统为例,叙说数据结构:
需求:
菜单需要针对不同部门使用不同的菜单结构。
权限项能精确到页面中某个内容或局部功能。
基本要求:没有权限的菜单,页面中内容或链接禁止显示。
表结构
CREATE TABLE `power_item` ( `power_item_id` int UNSIGNED primary key auto_increment, `name` varchar(35) not null comment ‘权限项名称‘, `code` varchar(80) unique not null comment ‘权限项代码‘, `power_item_group_id` int unsigned not null comment ‘权限项组ID‘, `status` enum(‘disable‘,‘enable‘) NOT NULL DEFAULT ‘enable‘ COMMENT ‘启用或禁用,enable为启用‘, `comment` varchar(1000) not null default ‘‘ comment ‘备注说明‘, `created_at` int unsigned not null comment ‘创建时间‘, `updated_at` int unsigned not null comment ‘修改时间‘ ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘权限项表‘; CREATE TABLE `power_item_group` ( `power_item_group_id` int UNSIGNED primary key auto_increment, `name` varchar(35) not null comment ‘权限项组名称‘, `comment` varchar(1000) not null default ‘‘ comment ‘备注说明‘, `created_at` int unsigned not null comment ‘创建时间‘, `updated_at` int unsigned not null comment ‘修改时间‘ ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘权限项组表‘; CREATE TABLE `power_role` ( `power_role_id` int UNSIGNED primary key auto_increment, `name` varchar(35) not null comment ‘角色名‘, `status` enum(‘enable‘,‘disable‘) not null default ‘enable‘ comment ‘启用或禁用,enable为启用‘, `comment` varchar(1000) not null default ‘‘ comment ‘备注说明‘, `created_at` int unsigned not null comment ‘创建时间‘, `updated_at` int unsigned not null comment ‘修改时间‘ ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘角色表‘; CREATE TABLE `power_role_item` ( `id` int UNSIGNED primary key auto_increment, `power_role_id` int unsigned not null comment ‘角色ID‘, `power_item_id` int unsigned not null comment ‘权限项ID‘, unique key role_item(power_role_id,power_item_id) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘角色与权限项关联表‘; CREATE TABLE `power_role_admin` ( `id` int UNSIGNED primary key auto_increment, `power_role_id` int unsigned not null comment ‘角色ID‘, `admin_id` int unsigned not null comment ‘管理员ID‘, unique key role_admin(power_role_id,admin_id) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘角色与管理员关联表‘; CREATE TABLE `power_menu_group` ( `power_menu_group_id` int UNSIGNED primary key auto_increment, `name` varchar(35) not null comment ‘菜单组名‘, `comment` varchar(1000) not null default ‘‘ comment ‘备注说明‘, `created_at` int unsigned not null comment ‘创建时间‘, `updated_at` int unsigned not null comment ‘修改时间‘ ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘菜单组表‘; CREATE TABLE `power_menu` ( `power_menu_id` int UNSIGNED primary key auto_increment, `name` varchar(35) not null comment ‘菜单名‘, `url` varchar(60) not null comment ‘链接地址‘, `power_item_id` int unsigned not null default 0 comment ‘关联权限项ID‘, `comment` varchar(1000) not null default ‘‘ comment ‘备注说明‘, `created_at` int unsigned not null comment ‘创建时间‘, `updated_at` int unsigned not null comment ‘修改时间‘ ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘菜单表‘; CREATE TABLE `power_menu_level` ( `id` int UNSIGNED primary key auto_increment, `power_menu_id` int unsigned not null default 0 comment ‘菜单ID‘, `power_menu_group_id` int unsigned not null default 0 comment ‘所属菜单组ID‘, `parent_id` int unsigned not null default 0 comment ‘上级层级ID‘, `sort` smallint unsigned not null default 0 comment ‘排序值,大到小‘, unique key menu_level(power_menu_id,power_menu_group_id,parent_id) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COMMENT=‘菜单层级关联表‘;
关联关系图
对应关系
角色与权限项通过 power_role_item 表随意组合
角色与管理员通过 power_role_admin 表随意组合
菜单与菜单组通过 power_menu_level 表随意组合(包含菜单层级关系)
设计思想
角色只是划分范围或添加维度方便理解,实际使用中很多管理员扮演了多种角色,所以一个管理员允许同时拥有N个角色。
权限项相当于一把锁,程序在关键地方安装对应的锁,然后把这些锁的钥匙分配给不同的角色,所以权限项与角色之间是多对多关系,即一个权限项可以关联多个角色,而一个角色也可以关联多个权限项。
权限项组只是为了把众多的权限项进行简单的分组,以便角色在勾选权限项时能把权限项分组展示,比如,权限管理相关,会员管理相关,订单管理相关等,这样在勾选时会更容易操作。
菜单可以关联到对应的权限项,这样可以过滤掉没有权限的菜单显示,为了方便不同部门菜单结构不同的目的,额外添加了菜单层级与菜单组,这样一来,每个管理员只显示自己所在的菜单组的菜单结构,中间相对复杂点的就是菜单结构组合处理,power_menu_level 表中需要保存当前菜单,上级菜单,及菜单组,和排序。
备注说明
角色设计中弃用所谓的上级角色关系(即角色继承)感觉很高尚的设计,实际容易造成误解,误操作,程序复杂化等问题,比如继承会拥有上级权限那么对实际分配人员对角色的理解就不仅限于当前角色还得考虑上级角色否则容易造成权限分配过度,再者继承的权限在权限查询中存在着递归结构,复杂化判断程序,如果不继承权限那这个功能形同虚设,当然如果只是为了给角色分类,完全可以增加一个角色组表,进行区分。
菜单弃用了单一预定义好的结构,使用了可自定义的菜单结构,也只是为了满足不同部门菜单结构的需求,当前这块功能并非必需的,在实际应用中是可选的。
以上内容为个人观点或想法,如有不妥还请纠正或路过,后续如果有必要再抽时间把对应程序整理发布到github上。
本文出自 “秋风扫落叶” 博客,谢绝转载!
以上是关于基于RBAC权限管理的主要内容,如果未能解决你的问题,请参考以下文章