为企业应用程序实施动态 RBAC 系统 - 简化

介绍

在当今的数字环境中，有效的访问管理对于保护资源和数据至关重要。基于角色的访问控制 (RBAC) 系统提供了一种结构化方法来管理用户权限和角色。本博客概述了针对不同应用程序需求定制的 RBAC 系统的两种变体：通用业务应用程序和企业业务应用程序。

为了说明这些概念，我们将提供管理访问控制的服务的演示代码片段，以及 RBAC 系统中使用的每个表的详细说明。

RBAC 系统组件

常见业务应用

对于大多数常见的业务应用程序，可以简化 RBAC 系统以有效地管理角色和权限，而不会增加复杂性。关键组件是：

1. 用户表

   • 用途：存储用户信息，例如用户名、密码哈希、电子邮件和权限级别。
   • 关键列：user_id、用户名、password_hash、电子邮件、部门、clearance_level

2. 角色表

   • 用途：定义应用程序中的角色，详细说明每个角色的名称和描述。
   • 关键列：role_id、role_name、description

3. 模块表

   • 目的：列出应用程序模块或资源，描述其目的和功能。
   • 关键列： module_id、module_name、description

4. 模块_权限表

   • 用途：指定与每个模块关联的权限，例如读取或写入访问权限。
   • 关键列：module_permission_id、module_id、permission_type

5. 角色_权限表

   • 用途：将角色映射到模块权限，确定角色可以对模块执行哪些操作。
   • 关键列：role_permission_id、role_id、module_permission_id

6. 用户角色表

   • 用途：管理用户和角色之间的关系，实现基于角色的访问控制。
   • 关键列：user_role_id、user_id、role_id

企业业务应用

企业业务应用程序可能需要额外的组件来处理更复杂的访问控制需求。其中包括：

1. 政策表

   • 目的：定义额外的访问规则和条件，提供更精细的控制。
   • 关键列：policy_id、policy_name、description

2. 角色_策略表

   • 目的：将角色与策略联系起来，允许角色受特定规则和条件的约束。
   • 关键列：role_policy_id、role_id、policy_id

3. 用户策略表

   • 目的：直接向用户分配策略，适应个人权限。
   • 关键列：user_policy_id、user_id、policy_id

4. 策略_条件表

   • 用途：指定策略的条件，例如上下文或基于属性的约束。
   • 关键列：policy_condition_id、policy_id、condition_type、condition_value

5. 上下文_权限表

   • 目的：根据特定上下文应用策略，例如用户部门或位置。
   • 关键列：contextual_permission_id、policy_id、context_type、context_value

6. Temporal_Constraint 表

   • 用途：管理基于时间的访问，定义策略有效性的开始和结束时间。
   • 关键列：temporal_constraint_id、policy_id、start_time、end_time

7. 代表团表

   • 用途：促进临时角色分配，允许用户委派具有指定到期日期的角色。
   • 关键列：delegation_id、delegate_user_id、delegator_user_id、role_id、delegate_at、expiration_date

8. 审核日志表

   • 用途：记录用户操作、模块交互和角色更改，以进行安全性和合规性审核。
   • 关键列：audit_log_id、user_id、action、module_id、role_id、时间戳、详细信息

演示代码：访问控制服务

这是 Java 中 AccessControlService 的示例实现，演示了如何在动态 RBAC 系统中管理访问控制。此示例涵盖了基本组件并说明了如何处理权限和策略。

import java.time.LocalDateTime;
import java.util.List;

@Service
@Transactional
public class AccessControlService {

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private RoleRepository roleRepository;

    @Autowired
    private ModulePermissionRepository modulePermissionRepository;

    @Autowired
    private RolePermissionRepository rolePermissionRepository;

    @Autowired
    private UserRoleRepository userRoleRepository;

    @Autowired
    private PolicyRepository policyRepository;

    @Autowired
    private UserPolicyRepository userPolicyRepository;

    @Autowired
    private RolePolicyRepository rolePolicyRepository;

    @Autowired
    private PolicyConditionRepository policyConditionRepository;

    @Autowired
    private ContextualPermissionRepository contextualPermissionRepository;

    @Autowired
    private TemporalConstraintRepository temporalConstraintRepository;

    @Autowired
    private DelegationRepository delegationRepository;

    public boolean hasAccess(String username, Long moduleId, String permissionType) {
        // Fetch user
        User user = userRepository.findByUsername(username);
        if (user == null) {
            return false;
        }

        // Check if user has any delegations
        boolean hasDelegatedAccess = checkDelegatedAccess(user.getUserId(), moduleId, permissionType);
        if (hasDelegatedAccess) {
            return true;
        }

        // Check if user has direct access via roles
        List<UserRole> userRoles = userRoleRepository.findByUserId(user.getUserId());
        for (UserRole userRole : userRoles) {
            List<RolePermission> rolePermissions = rolePermissionRepository.findByRoleId(userRole.getRoleId());
            for (RolePermission rolePermission : rolePermissions) {
                ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
                if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
                    // Check if role has any associated policies
                    if (hasPolicyAccess(user.getUserId(), moduleId, permissionType, modulePermission.getModuleId())) {
                        return true;
                    }
                }
            }
        }

        return false;
    }

    private boolean checkDelegatedAccess(Long userId, Long moduleId, String permissionType) {
        List<Delegation> delegations = delegationRepository.findByDelegateUserId(userId);
        LocalDateTime now = LocalDateTime.now();
        for (Delegation delegation : delegations) {
            // Check if delegation is expired
            if (delegation.getExpirationDate() != null && delegation.getExpirationDate().isBefore(now)) {
                continue;
            }

            List<RolePermission> rolePermissions = rolePermissionRepository.findByRoleId(delegation.getRoleId());
            for (RolePermission rolePermission : rolePermissions) {
                ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
                if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
                    return true;
                }
            }
        }
        return false;
    }

    private boolean hasPolicyAccess(Long userId, Long moduleId, String permissionType, Long modulePermissionId) {
        // Check policies assigned directly to the user
        List<UserPolicy> userPolicies = userPolicyRepository.findByUserId(userId);
        for (UserPolicy userPolicy : userPolicies) {
            if (isPolicyValid(userPolicy.getPolicyId(), moduleId, permissionType)) {
                return true;
            }
        }

        // Check policies assigned to roles
        List<UserRole> userRoles = userRoleRepository.findByUserId(userId);
        for (UserRole userRole : userRoles) {
            List<RolePolicy> rolePolicies = rolePolicyRepository.findByRoleId(userRole.getRoleId());
            for (RolePolicy rolePolicy : rolePolicies) {
                if (isPolicyValid(rolePolicy.getPolicyId(), moduleId, permissionType)) {
                    return true;
                }
            }
        }

        return false;
    }

    private boolean isPolicyValid(Long policyId, Long moduleId, String permissionType) {
        // Check policy conditions
        List<PolicyCondition> conditions = policyConditionRepository.findByPolicyId(policyId);
        for (PolicyCondition condition : conditions) {
            // Add logic to evaluate conditions based on conditionType and conditionValue
            // e.g., Check if context or attribute matches the condition
        }

        // Check contextual permissions
        List<ContextualPermission> contextualPermissions = contextualPermissionRepository.findByPolicyId(policyId);
        for (ContextualPermission contextualPermission : contextualPermissions) {
            // Add logic to evaluate contextual permissions
            // e.g., Check if current context matches the contextualPermission
        }

        // Check temporal constraints
        List<TemporalConstraint> temporalConstraints = temporalConstraintRepository.findByPolicyId(policyId);
        for (TemporalConstraint temporalConstraint : temporalConstraints) {
            LocalDateTime now = LocalDateTime.now();
            if (now.isBefore(temporalConstraint.getStartTime()) || now.isAfter(temporalConstraint.getEndTime())) {
                return false;
            }
        }

        return true;
    }
}

结论

通过区分普通业务应用和企业业务应用，您可以定制您的RBAC系统

以上是为企业应用程序实施动态 RBAC 系统 - 简化的详细内容。更多信息请关注PHP中文网其他相关文章！