大話設計,沒有模式—通用許可權設計與實現

来源:https://www.cnblogs.com/yubaolee/archive/2019/11/27/DataPrivilege.html
-Advertisement-
Play Games

當代碼寫多了,總有些是經驗,但經驗是什麼呢?if…else用的次數比別人多?顯然不是。有些超棒的設計可以謂之經驗!網路上流行的經典的許可權設計是【主體】- 【領域】 - 【許可權】( who、what、how問題原型 ) 的設計思想,數據許可權是在功能許可權的基礎上面進一步的擴展,比如可以查看訂單屬於【功能... ...


當代碼寫多了,總有些是經驗,但經驗是什麼呢?if…else用的次數比別人多?顯然不是。有些超棒的設計可以謂之經驗!

功能許可權

網路上流行的經典的許可權設計是【主體】- 【領域】 - 【許可權】( who、what、how問題原型 ) 的設計思想,其中:

【主體】可以是用戶,可以是角色,也可以是一個部門

【領域】可以是一個模塊,可以是一個頁面,也可以是頁面上的按鈕

【許可權】可以是“可見”,可以是“只讀”,也可以是“可用”(如按鈕可以點擊)

為了簡化程式開發,在OpenAuth.Core中去掉了許可權的控制,簡化為【主體】- 【領域】的模式,且【主體】限定為角色。即只能給角色分配模塊和按鈕,不能直接分配給用戶賬號或部門。且一旦分配即表示該角色擁有操作該模塊(按鈕)的許可權。

file-read-61

大道至簡,標準的RBAC規範比這個還要簡潔,所以它的生命力才最頑強。在此基礎上,如果進行二次開發,進行更詳細的功能許可權控制,可以按照上面的思想進行改造。

數據許可權

數據許可權是在功能許可權的基礎上面進一步的擴展,比如可以查看訂單屬於【功能許可權】的範圍,但是可以查看哪些訂單就是【數據許可權】的工作了。

這裡面的幾個概念:

【資源】:數據許可權的控制對象,業務系統中的各種資源。比如訂單單據、銷售單等。

【數據規則】:用於數據許可權的條件規則 。

應用場景

  • 銷售單,可以由本人查看
  • 銷售單,測試角色能看到自己的訂單
  • 銷售單,測試角色能看到自己的訂單,管理員角色可以看到所有訂單
  • 銷售單,測試角色能看到自己的訂單,管理員角色可以看到所有訂單,賬號test3可以看到應用名稱為"xxx管理系統"的訂單

我們能想到直接的方法,在訪問數據的入口加入SQL Where條件來實現,以上4種情況對應的sql語句:

  1 where CreateUserID = {loginUser}
  2 where CreateUserID = {loginUser} and {loginRole} in (測試)
  3 where CreateUserID = ({loginUser} and {loginRole} in (測試)) or {loginRole} in (管理員)
  4 where CreateUserID = ({loginUser} and {loginRole} in (測試)) or {loginRole} in (管理員) or ({loginUser}==test3 and 應用名稱==XXX管理系統)

這些一個一個的"條件",簡單理解為一個【數據規則】,通常會與原來我們前臺的業務過濾條件合併再檢索出數據。

每一個角色有不一樣的【數據規則】,那麼數據許可權設計就變成

  【資源】 - 【數據規則】

在資料庫記錄中存放為資源ID+規則的形式,如下:

微信截圖_20191126223141

為了簡化程式開發,在開發過程中可以做出以下約定:

  • 所有需要進行數據許可權控制功能的表,在設計時必須包含欄位CreateUserId(創建用戶Id)。
  • 【資源】的名稱限定為模塊名稱。如部門管理,用戶管理,那麼資源就是對應的部門列表,用戶列表。
  • 如果【資源】沒有設置數據規則,那麼視為該資源允許被任何主體查看。
  • 數據規則中授權的對象限定為角色、用戶。即不能設定為某個部門所有,如果想實現類似的功能,通過角色間接實現。例如:資源屬於角色“開發組成員”,“開發組組長”。

核心實現--查詢對象模式

許可權控制總離不開一些條件的限制,如果沒有完善的查詢機制,那麼在做許可權條件過濾的時候你會覺得很彆扭。馬丁在《企業應用架構模式》第13章對象-關係元數據映射模式中提出查詢對象模式(Query Object Pattern)。該模式核心結構如下:

下載

該結構為【數據規則】的建立提供了理論基礎。在設計數據許可權的時候,可以照搬該思想。上面例子中的規則,數據規則展開如下:

  1 {
  2 	"Operation": "or",
  3 	"Filters": [{
  4 		"Key": "{loginRole}",
  5 		"Value": "09ee2ffa-7463-4938-ae0b-1cb4e80c7c13",
  6 		"Contrast": "contains",
  7 		"Text": "管理員"
  8 	}],
  9 	"Children": [{
 10 		"Operation": "and",
 11 		"Filters": [{
 12 			"Key": "{loginRole}",
 13 			"Value": "0a7ebd0c-78d6-4fbc-8fbe-6fc25c3a932d",
 14 			"Contrast": "contains",
 15 			"Text": "測試"
 16 		}, {
 17 			"Key": "CreateUserId",
 18 			"Value": "{loginUser}",
 19 			"Contrast": "==",
 20 			"Text": ""
 21 		}]
 22 	}, {
 23 		"Operation": "and",
 24 		"Filters": [{
 25 			"Key": "AppName",
 26 			"Value": "XXX管理平臺",
 27 			"Contrast": "==",
 28 			"Text": ""
 29 		}, {
 30 			"Key": "{loginUser}",
 31 			"Value": "229f3a49-ab27-49ce-b383-9f10ca23a9d5,1df68dfd-3b6d-4491-872f-00a0fc6c5a64",
 32 			"Contrast": "in",
 33 			"Text": "test3,test4"
 34 		}]
 35 	}]
 36 }

規則分為三個部分:【分組】(Children)、【規則】(Filter)、【操作符】(and or),而規則自身就是一個分組。這種簡單的結構就可以滿足全部的情況。看不懂啥意思?

微信截圖_20191125234345

這樣理解起來就比較簡單了。

48ddd81b9850d6b30edb8c2534b6713c

還不懂??我們從簡單的開始:

某一角色只能看到自己創建的信息。如:針對資源列表,我們設置了【測試】角色可以看到自己創建的資源。

微信截圖_20191125231835

這時如果用一個擁有測試角色的賬號(test)登錄,那麼他只能看到自己創建的資源:

微信截圖_20191125232012

其他角色的賬號登錄時,會出現無法看到任何信息。我們稍做調整:【管理員】角色可以看到所有資源,【測試】角色只能看到自己創建的資源。

微信截圖_20191125233925

這時如果用一個擁有管理員角色的賬號(admin)登錄,那麼他就可以看到全部資源:

微信截圖_20191125233839

以此為基礎,我們可以擴展非常複雜的數據許可權控制。最終形成最後的複雜規則:【管理員】角色可以看到所有資源,【測試】角色只能看到自己創建的資源。賬號test3/test4只能看到應用名稱等於“XXX管理平臺”的資源。

代碼解析--不要BB,秀出你的代碼

可以在應用層基類BaseApp中,定義一個通用函數,根據當前即將訪問的資源Id獲取相應的訪問【數據規則】,並把當前登錄的用戶信息註入到該規則中,最終轉換成針對資料庫的查詢,如下:(不想看這個?直接跳過吧,看看如何使用也沒有問題)

  1         protected IQueryable<T> GetDataPrivilege(string parametername)
  2         {
  3             var loginUser = _auth.GetCurrentUser();
  4             if (loginUser.User.Account == Define.SYSTEM_USERNAME) return UnitWork.Find<T>(null);  //超級管理員特權
  5 
  6             var moduleName = typeof(T).Name;
  7             var rule = UnitWork.FindSingle<DataPrivilegeRule>(u => u.SourceCode == moduleName);
  8             if (rule == null) return UnitWork.Find<T>(null); //沒有設置數據規則,那麼視為該資源允許被任何主體查看
  9             if (rule.PrivilegeRules.Contains(Define.DATAPRIVILEGE_LOGINUSER) ||
 10                                              rule.PrivilegeRules.Contains(Define.DATAPRIVILEGE_LOGINROLE))
 11             {
 12 
 13                 //即把{loginUser} =='xxxxxxx'換為 loginUser.User.Id =='xxxxxxx',從而把當前登錄的用戶名與當時設計規則時選定的用戶id對比
 14                 rule.PrivilegeRules = rule.PrivilegeRules.Replace(Define.DATAPRIVILEGE_LOGINUSER, loginUser.User.Id);
 15                 var roles = loginUser.Roles.Select(u => u.Id).ToList();
 16                 roles.Sort(); //按字母排序,這樣可以進行like操作
 17                 rule.PrivilegeRules = rule.PrivilegeRules.Replace(Define.DATAPRIVILEGE_LOGINROLE,
 18                     string.Join(',',roles));
 19             }
 20             return UnitWork.Find<T>(null).GenerateFilter(parametername,
 21                 JsonHelper.Instance.Deserialize<FilterGroup>(rule.PrivilegeRules));
 22         }

這樣在我們自己的應用中,使用上面的函數創建一個基礎查詢,再加上自定義的查詢條件即可輕鬆實現數據許可權的控制。

  1             var result = new TableData();
  2             var objs = GetDataPrivilege("u");
  3             if (!string.IsNullOrEmpty(request.key))
  4             {
  5                 objs = objs.Where(u => u.Id.Contains(request.key));
  6             }
  7 
  8             result.data = objs.OrderBy(u => u.Id)
  9                 .Skip((request.page - 1) * request.limit)
 10                 .Take(request.limit);

最後

以上所有代碼均已實現並開源(配置數據規則的界面可以自己畫,layui的前端畫起來實在太費力),OpenAuth.Core秉承代碼之美,為.net core添磚加瓦,喜歡的star一下!

 

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • .net core mvc 發佈有很長時間了,但是一直沒有用過,最近突然想開發一個導航網站,於是就抽時間開發了一個專門為開發者使用的導航站點,想看的話請移步我的上一篇博客 "https://www.cnblogs.com/weiwin/p/11941684/" 這個網站雖然小但是網站該有的功能它都有 ...
  • 騰訊雲驗證碼是為網頁、App、小程式開發者提供的安全驗證服務,基於騰訊多年的大數據積累和人工智慧決策引擎,構建智能分級驗證模型,最大程度保護業務安全的同時,提供更精細化的用戶體驗。 騰訊雲-->驗證碼控制台 騰訊雲-->驗證碼控制台 在驗證碼控制台註冊 AppID 和 AppSecret,註冊後在控 ...
  • 一、介紹:圖片的上傳直接使用ajax就可以了,截取圖片的話使用到Jcrop插件。 圖片上傳資料:https://www.jb51.net/article/87654.htm 截取圖片插件:http://code.ciaoca.com/jquery/jcrop/ 前端 添加引用 1 <script s ...
  • /// <summary> /// 按前臺分頁樣式為datatable增加空行 /// </summary> /// <param name="gridPageSize">grid分頁行數</param> /// <param name="dt"></param> /// <returns></re ...
  • 前段時間看到一篇博客,是這個功能的,參考了那篇博客寫了這個功能玩一玩,沒有做商業用途。發現他的代碼給的有些描述不清晰的,我就自己整理一下發出來記錄一下。 參考博客鏈接:https://www.cnblogs.com/geeking/p/4181450.html 好了 進入正題。 項目環境 項目代碼的 ...
  • 有一次突然停電,我的群輝DS218+ 的一塊硬碟出現故障了,讓我擔心我的數據安全,其實我是有UPS, 不是線上式的,然後就想如何實現停電自動關機呢? 經過半天的瞭解,其實群輝支持telnet協議,於是用.net開發了一個計劃任務的服務,它可以檢查一個ip不通後自動實現一些動作。 實現思想已搞通,把我 ...
  • Statistical Process Control 簡介 統計過程式控制制(Statistical Process Control)是一種藉助數理統計方法的過程式控制制工具。它對生產過程進行分析評價,根據反饋信息及時發現系統性因素出現的徵兆,並採取措施消除其影響,使過程維持在僅受隨機性因素影響的受控狀態 ...
  • 場景 需求是在窗體載入完成後掉用工具類的方法,工具類中獲取窗體的多個控制項對象進行賦值。 註: 博客主頁: https://blog.csdn.net/badao_liumang_qizhi 關註公眾號 霸道的程式猿 獲取編程相關電子書、教程推送與免費下載。 實現 新建一個窗體程式,在窗體Forn1中 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...