架构设计之RBAC基于角色的访问控制设计

架构设计之RBAC基于角色的访问控制设计

引用

CSDN

1.

https://blog.csdn.net/moshowgame/article/details/140060859

RBAC（基于角色的访问控制）是一种常见的权限管理模型，它通过定义角色来分配权限，然后将角色分配给用户。在Java中实现RBAC权限管理，你可以遵循以下步骤：

定义权限模型

• 角色（Role）：角色是一组权限的集合。
• 权限（Permission）：权限是访问控制的最小单元，如查看、编辑、删除等。
• 用户（User）：用户是权限系统的主体，可以拥有多个角色。

设计数据结构

• 使用类或数据库表来表示角色、权限和用户。
• 角色和权限之间通常是多对多关系，可以通过一个关联表来实现。

创建数据库表（详细表设计看附录）

• users：存储用户信息。
• roles：存储角色信息。
• permissions：存储权限信息。
• role_permissions：角色和权限的关联表。
• user_roles：用户和角色的关联表。

实现业务逻辑

• 用户管理：创建、更新、删除用户信息。
• 角色管理：创建、更新、删除角色信息。
• 权限管理：创建、更新、删除权限信息。
• 角色分配：将角色分配给用户。
• 权限分配：将权限分配给角色。

访问控制

• 在系统中的每个访问点，检查当前用户是否拥有执行操作所需的权限。
• 可以通过拦截器（Interceptor）或过滤器（Filter）来实现。

会话管理

• 用户登录后，其角色和权限信息应该被加载到会话中，以便进行访问控制检查。

实现安全措施

• 确保所有的数据传输都是加密的。
• 防止SQL注入和其他安全漏洞。

单元测试

• 对权限管理的各个部分进行单元测试，确保逻辑正确。

用户界面

• 提供一个用户界面，让用户能够看到自己的权限，并进行一些基本的权限管理操作。

日志记录

• 对关键操作进行日志记录，以便于问题追踪和系统监控。

示例1 定义角色和权限的类

以下是一个简单的Java代码示例，展示如何定义角色和权限的类：

import java.util.HashSet;
import java.util.Set;

public class User {
    private String id;
    private String username;
    private Set<Role> roles = new HashSet<>();
    // 省略构造函数、getter和setter
}

public class Role {
    private String id;
    private String name;
    private Set<Permission> permissions = new HashSet<>();
    // 省略构造函数、getter和setter
}

public class Permission {
    private String id;
    private String name;
    // 省略构造函数、getter和setter
}

public class AccessControlService {
    public boolean hasPermission(User user, Permission permission) {
        for (Role role : user.getRoles()) {
            if (role.getPermissions().contains(permission)) {
                return true;
            }
        }
        return false;
    }
}

数据库设计

在设计RBAC（基于角色的访问控制）系统的数据库时，你需要创建几个关键的表来存储用户、角色、权限以及它们之间的关系。以下是一些基本的表和字段设计示例：

1. Users（用户表）

• user_id：主键，唯一标识一个用户。
• username：用户名，唯一。
• password：密码（存储加密后的密码）。
• email：电子邮箱地址。
• created_at：账户创建时间。
• 其他用户相关信息字段。

2. Roles（角色表）

• role_id：主键，唯一标识一个角色。
• role_name：角色名称，如管理员、普通用户等。
• description：角色描述。
• created_at：角色创建时间。

3. Permissions（权限表）

• permission_id：主键，唯一标识一个权限。
• permission_name：权限名称，如DELETE_USER、EDIT_POST等。
• description：权限描述。
• created_at：权限创建时间。

4. UserRole（用户角色关联表）

• user_id：外键，关联到Users表。
• role_id：外键，关联到Roles表。
• 这个表表示多对多关系，一个用户可以有多个角色，一个角色可以被多个用户拥有。

5. RolePermission（角色权限关联表）

• role_id：外键，关联到Roles表。
• permission_id：外键，关联到Permissions表。
• 这个表表示多对多关系，一个角色可以包含多个权限，一个权限可以被多个角色拥有。

CREATE TABLE Users (
    user_id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(255) UNIQUE NOT NULL,
    password VARCHAR(255) NOT NULL,
    email VARCHAR(255),
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE Roles (
    role_id INT AUTO_INCREMENT PRIMARY KEY,
    role_name VARCHAR(255) UNIQUE NOT NULL,
    description TEXT,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE Permissions (
    permission_id INT AUTO_INCREMENT PRIMARY KEY,
    permission_name VARCHAR(255) UNIQUE NOT NULL,
    description TEXT,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE UserRole (
    user_id INT,
    role_id INT,
    PRIMARY KEY (user_id, role_id),
    FOREIGN KEY (user_id) REFERENCES Users(user_id),
    FOREIGN KEY (role_id) REFERENCES Roles(role_id)
);

CREATE TABLE RolePermission (
    role_id INT,
    permission_id INT,
    PRIMARY KEY (role_id, permission_id),
    FOREIGN KEY (role_id) REFERENCES Roles(role_id),
    FOREIGN KEY (permission_id) REFERENCES Permissions(permission_id)
);