엔터프라이즈 애플리케이션을 위한 동적 RBAC 시스템 구현 - 단순화
- 王林원래의
- 2024-08-14 11:02:371113검색
소개
오늘날의 디지털 환경에서는 리소스와 데이터를 보호하기 위해 효과적인 액세스 관리가 매우 중요합니다. RBAC(역할 기반 액세스 제어) 시스템은 사용자 권한 및 역할 관리에 대한 구조화된 접근 방식을 제공합니다. 이 블로그에서는 다양한 애플리케이션 요구 사항에 맞게 조정된 RBAC 시스템의 두 가지 변형인 일반 비즈니스 애플리케이션과 엔터프라이즈 비즈니스 애플리케이션을 간략하게 설명합니다.
개념을 설명하기 위해 서비스 관리 액세스 제어에 대한 데모 코드 조각과 RBAC 시스템에서 사용되는 각 테이블에 대한 자세한 설명을 제공합니다.
RBAC 시스템 구성 요소
일반적인 비즈니스 애플리케이션
가장 일반적인 비즈니스 애플리케이션의 경우 RBAC 시스템을 간소화하여 추가적인 복잡성 없이 역할과 권한을 효과적으로 관리할 수 있습니다. 주요 구성 요소는 다음과 같습니다.
-
사용자 테이블
- 목적: 사용자 이름, 비밀번호 해시, 이메일, 허가 수준 등의 사용자 정보를 저장합니다.
- 키 열: user_id, 사용자 이름, 비밀번호_해시, 이메일, 부서, 정리_수준
-
역할 테이블
- 목적: 애플리케이션 내에서 역할을 정의하고 각 역할의 이름과 설명을 자세히 설명합니다.
- 주요 열: role_id, role_name, 설명
-
모듈 테이블
- 목적: 애플리케이션 모듈이나 리소스를 나열하고 해당 목적과 기능을 설명합니다.
- 키 열: 모듈_ID, 모듈_이름, 설명
-
모듈_권한 테이블
- 목적: 읽기 또는 쓰기 액세스 등 각 모듈과 관련된 권한을 지정합니다.
- 키 열: 모듈_허가_ID, 모듈_ID, 허가_유형
-
역할_권한 테이블
- 목적: 역할을 모듈 권한에 매핑하여 역할이 모듈에서 수행할 수 있는 작업을 결정합니다.
- 주요 열: role_permission_id, role_id, module_permission_id
-
사용자_역할 테이블
- 목적: 사용자와 역할 간의 관계를 관리하여 역할 기반 액세스 제어를 활성화합니다.
- 키 열: user_role_id, user_id, role_id
엔터프라이즈 비즈니스 애플리케이션
엔터프라이즈 비즈니스 애플리케이션에는 보다 복잡한 액세스 제어 요구 사항을 처리하기 위해 추가 구성 요소가 필요할 수 있습니다. 여기에는 다음이 포함됩니다.
-
정책표
- 목적: 추가 액세스 규칙 및 조건을 정의하여 보다 세부적인 제어를 제공합니다.
- 키 열: 정책_ID, 정책_이름, 설명
-
역할_정책 테이블
- 목적: 역할을 정책에 연결하여 역할이 특정 규칙 및 조건에 따라 관리되도록 합니다.
- 키 열: role_policy_id, role_id,policy_id
-
User_Policy 테이블
- 목적: 개별 권한을 수용하여 사용자에게 직접 정책을 할당합니다.
- 키 열: user_policy_id, user_id,policy_id
-
정책_조건표
- 목적: 상황별 또는 속성 기반 제약 조건과 같은 정책 조건을 지정합니다.
- 키 열: 정책_조건_ID, 정책_ID, 조건_유형, 조건_값
-
컨텍스트_권한 테이블
- 목적: 사용자 부서, 위치 등 특정 상황에 따라 정책을 적용합니다.
- 키 열: contextual_permission_id,policy_id, context_type, context_value
-
Temporal_Constraint 테이블
- 목적: 정책 효과를 위해 시작 및 종료 시간을 정의하여 시간 기반 액세스를 관리합니다.
- 키 열: temporary_constraint_id,policy_id, start_time, end_time
-
위임 테이블
- 목적: 사용자가 지정된 만료 날짜를 사용하여 역할을 위임할 수 있도록 임시 역할 할당을 용이하게 합니다.
- 키 열: delegation_id, Delegation_user_id, delegator_user_id, role_id, 위임_at, 만료_날짜
-
감사_로그 테이블
- 목적: 보안 및 규정 준수 감사를 위해 사용자 작업, 모듈 상호 작용, 역할 변경을 기록합니다.
- 키 열: audit_log_id, user_id, action, module_id, role_id, timestamp, 세부정보
데모 코드: 액세스 제어 서비스
다음은 동적 RBAC 시스템에서 액세스 제어를 관리하는 방법을 보여주는 Java의 AccessControlService 구현 샘플입니다. 이 예에서는 필수 구성 요소를 다루고 권한 및 정책을 처리하는 방법을 보여줍니다.
import java.time.LocalDateTime;
import java.util.List;
@Service
@Transactional
public class AccessControlService {
@Autowired
private UserRepository userRepository;
@Autowired
private RoleRepository roleRepository;
@Autowired
private ModulePermissionRepository modulePermissionRepository;
@Autowired
private RolePermissionRepository rolePermissionRepository;
@Autowired
private UserRoleRepository userRoleRepository;
@Autowired
private PolicyRepository policyRepository;
@Autowired
private UserPolicyRepository userPolicyRepository;
@Autowired
private RolePolicyRepository rolePolicyRepository;
@Autowired
private PolicyConditionRepository policyConditionRepository;
@Autowired
private ContextualPermissionRepository contextualPermissionRepository;
@Autowired
private TemporalConstraintRepository temporalConstraintRepository;
@Autowired
private DelegationRepository delegationRepository;
public boolean hasAccess(String username, Long moduleId, String permissionType) {
// Fetch user
User user = userRepository.findByUsername(username);
if (user == null) {
return false;
}
// Check if user has any delegations
boolean hasDelegatedAccess = checkDelegatedAccess(user.getUserId(), moduleId, permissionType);
if (hasDelegatedAccess) {
return true;
}
// Check if user has direct access via roles
List<UserRole> userRoles = userRoleRepository.findByUserId(user.getUserId());
for (UserRole userRole : userRoles) {
List<RolePermission> rolePermissions = rolePermissionRepository.findByRoleId(userRole.getRoleId());
for (RolePermission rolePermission : rolePermissions) {
ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
// Check if role has any associated policies
if (hasPolicyAccess(user.getUserId(), moduleId, permissionType, modulePermission.getModuleId())) {
return true;
}
}
}
}
return false;
}
private boolean checkDelegatedAccess(Long userId, Long moduleId, String permissionType) {
List<Delegation> delegations = delegationRepository.findByDelegateUserId(userId);
LocalDateTime now = LocalDateTime.now();
for (Delegation delegation : delegations) {
// Check if delegation is expired
if (delegation.getExpirationDate() != null && delegation.getExpirationDate().isBefore(now)) {
continue;
}
List<RolePermission> rolePermissions = rolePermissionRepository.findByRoleId(delegation.getRoleId());
for (RolePermission rolePermission : rolePermissions) {
ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
return true;
}
}
}
return false;
}
private boolean hasPolicyAccess(Long userId, Long moduleId, String permissionType, Long modulePermissionId) {
// Check policies assigned directly to the user
List<UserPolicy> userPolicies = userPolicyRepository.findByUserId(userId);
for (UserPolicy userPolicy : userPolicies) {
if (isPolicyValid(userPolicy.getPolicyId(), moduleId, permissionType)) {
return true;
}
}
// Check policies assigned to roles
List<UserRole> userRoles = userRoleRepository.findByUserId(userId);
for (UserRole userRole : userRoles) {
List<RolePolicy> rolePolicies = rolePolicyRepository.findByRoleId(userRole.getRoleId());
for (RolePolicy rolePolicy : rolePolicies) {
if (isPolicyValid(rolePolicy.getPolicyId(), moduleId, permissionType)) {
return true;
}
}
}
return false;
}
private boolean isPolicyValid(Long policyId, Long moduleId, String permissionType) {
// Check policy conditions
List<PolicyCondition> conditions = policyConditionRepository.findByPolicyId(policyId);
for (PolicyCondition condition : conditions) {
// Add logic to evaluate conditions based on conditionType and conditionValue
// e.g., Check if context or attribute matches the condition
}
// Check contextual permissions
List<ContextualPermission> contextualPermissions = contextualPermissionRepository.findByPolicyId(policyId);
for (ContextualPermission contextualPermission : contextualPermissions) {
// Add logic to evaluate contextual permissions
// e.g., Check if current context matches the contextualPermission
}
// Check temporal constraints
List<TemporalConstraint> temporalConstraints = temporalConstraintRepository.findByPolicyId(policyId);
for (TemporalConstraint temporalConstraint : temporalConstraints) {
LocalDateTime now = LocalDateTime.now();
if (now.isBefore(temporalConstraint.getStartTime()) || now.isAfter(temporalConstraint.getEndTime())) {
return false;
}
}
return true;
}
}
결론
일반 비즈니스 애플리케이션과 기업 비즈니스 애플리케이션을 구별하여 RBAC 시스템을 맞춤화할 수 있습니다
위 내용은 엔터프라이즈 애플리케이션을 위한 동적 RBAC 시스템 구현 - 단순화의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:Java가 오늘 나를 선택했습니다다음 기사:Java가 오늘 나를 선택했습니다