跳到主要內容

大話設計,沒有模式—通用權限設計與實現

當代碼寫多了,總有些是經驗,但經驗是什麼呢?if…else用的次數比別人多?顯然不是。有些超棒的設計可以謂之經驗!


功能權限


網絡上流行的經典的權限設計是【主體】- 【領域】 - 【權限】( who、what、how問題原型 ) 的設計思想,其中:


【主體】可以是用戶,可以是角色,也可以是一個部門


【領域】可以是一個模塊,可以是一個頁面,也可以是頁面上的按鈕


【權限】可以是"可見",可以是"只讀",也可以是"可用"(如按鈕可以點擊)


為了簡化程序開發,在中去掉了權限的控制,簡化為【主體】- 【領域】的模式,且【主體】限定為角色。即只能給角色分配模塊和按鈕,不能直接分配給用戶賬號或部門。且一旦分配即表示該角色擁有操作該模塊(按鈕)的權限。



大道至簡,標準的RBAC規範比這個還要簡潔,所以它的生命力才最頑強。在此基礎上,如果進行二次開發,進行更詳細的功能權限控制,可以按照上面的思想進行改造。


數據權限


數據權限是在功能權限的基礎上面進一步的擴展,比如可以查看訂單屬於【功能權限】的範圍,但是可以查看哪些訂單就是【數據權限】的工作了。


這裏面的幾個概念:


【資源】:數據權限的控制對象,業務系統中的各種資源。比如訂單單據、銷售單等。


【數據規則】:用於數據權限的條件規則 。


應用場景



  • 銷售單,可以由本人查看

  • 銷售單,測試角色能看到自己的訂單

  • 銷售單,測試角色能看到自己的訂單,管理員角色可以看到所有訂單

  • 銷售單,測試角色能看到自己的訂單,管理員角色可以看到所有訂單,賬號test3可以看到應用名稱為"xxx管理系統"的訂單


我們能想到直接的方法,在訪問數據的入口加入SQL Where條件來實現,以上4種情況對應的sql語句:


  1 where CreateUserID = {loginUser} 
2 where CreateUserID = {loginUser} and {loginRole} in (測試)
3 where CreateUserID = ({loginUser} and {loginRole} in (測試)) or {loginRole} in (管理員)
4 where CreateUserID = ({loginUser} and {loginRole} in (測試)) or {loginRole} in (管理員) or ({loginUser}==test3 and 應用名稱==XXX管理系統)

這些一個一個的"條件",簡單理解為一個【數據規則】,通常會與原來我們前台的業務過濾條件合併再檢索出數據。


每一個角色有不一樣的【數據規則】,那麼數據權限設計就變成


  【資源】 - 【數據規則】


在數據庫記錄中存放為資源ID+規則的形式,如下:



為了簡化程序開發,在開發過程中可以做出以下約定:



  • 所有需要進行數據權限控制功能的表,在設計時必須包含字段CreateUserId(創建用戶Id)。

  • 【資源】的名稱限定為模塊名稱。如部門管理,用戶管理,那麼資源就是對應的部門列表,用戶列表。

  • 如果【資源】沒有設置數據規則,那麼視為該資源允許被任何主體查看。

  • 數據規則中授權的對象限定為角色、用戶。即不能設定為某個部門所有,如果想實現類似的功能,通過角色間接實現。例如:資源屬於角色"開發組成員","開發組組長"。


核心實現--查詢對象模式


權限控制總離不開一些條件的限制,如果沒有完善的查詢機制,那麼在做權限條件過濾的時候你會覺得很彆扭。馬丁在《企業應用架構模式》第13章對象-關係元數據映射模式中提出查詢對象模式(Query Object Pattern)。該模式核心結構如下:



該結構為【數據規則】的建立提供了理論基礎。在設計數據權限的時候,可以照搬該思想。上面例子中的規則,數據規則展開如下:


  1 { 
2 "Operation": "or",
3 "Filters": [{
4 "Key": "{loginRole}",
5 "Value": "09ee2ffa-7463-4938-ae0b-1cb4e80c7c13",
6 "Contrast": "contains",
7 "Text": "管理員"
8 }],
9 "Children": [{
10 "Operation": "and",
11 "Filters": [{
12 "Key": "{loginRole}",
13 "Value": "0a7ebd0c-78d6-4fbc-8fbe-6fc25c3a932d",
14 "Contrast": "contains",
15 "Text": "測試"
16 }, {
17 "Key": "CreateUserId",
18 "Value": "{loginUser}",
19 "Contrast": "==",
20 "Text": ""
21 }]
22 }, {
23 "Operation": "and",
24 "Filters": [{
25 "Key": "AppName",
26 "Value": "XXX管理平台",
27 "Contrast": "==",
28 "Text": ""
29 }, {
30 "Key": "{loginUser}",
31 "Value": "229f3a49-ab27-49ce-b383-9f10ca23a9d5,1df68dfd-3b6d-4491-872f-00a0fc6c5a64",
32 "Contrast": "in",
33 "Text": "test3,test4"
34 }]
35 }]
36 }

規則分為三個部分:【分組】(Children)、【規則】(Filter)、【操作符】(and or),而規則自身就是一個分組。這種簡單的結構就可以滿足全部的情況。看不懂啥意思?



這樣理解起來就比較簡單了。



還不懂??我們從簡單的開始:


某一角色只能看到自己創建的信息。如:針對資源列表,我們設置了【測試】角色可以看到自己創建的資源。



這時如果用一個擁有測試角色的賬號(test)登錄,那麼他只能看到自己創建的資源:



其他角色的賬號登錄時,會出現無法看到任何信息。我們稍做調整:【管理員】角色可以看到所有資源,【測試】角色只能看到自己創建的資源。



這時如果用一個擁有管理員角色的賬號(admin)登錄,那麼他就可以看到全部資源:



以此為基礎,我們可以擴展非常複雜的數據權限控制。最終形成最後的複雜規則:【管理員】角色可以看到所有資源,【測試】角色只能看到自己創建的資源。賬號test3/test4隻能看到應用名稱等於"XXX管理平台"的資源。


代碼解析--不要BB,秀出你的代碼


可以在應用層基類BaseApp中,定義一個通用函數,根據當前即將訪問的資源Id獲取相應的訪問【數據規則】,並把當前登錄的用戶信息注入到該規則中,最終轉換成針對數據庫的查詢,如下:(不想看這個?直接跳過吧,看看如何使用也沒有問題)


  1         protected IQueryable<T> GetDataPrivilege(string parametername) 
2 {
3 var loginUser = _auth.GetCurrentUser();
4 if (loginUser.User.Account == Define.SYSTEM_USERNAME) return UnitWork.Find<T>(null); //超級管理員特權
5
6 var moduleName = typeof(T).Name;
7 var rule = UnitWork.FindSingle<DataPrivilegeRule>(u => u.SourceCode == moduleName);
8 if (rule == null) return UnitWork.Find<T>(null); //沒有設置數據規則,那麼視為該資源允許被任何主體查看
9 if (rule.PrivilegeRules.Contains(Define.DATAPRIVILEGE_LOGINUSER) ||
10 rule.PrivilegeRules.Contains(Define.DATAPRIVILEGE_LOGINROLE))
11 {
12
13 //即把{loginUser} =='xxxxxxx'換為 loginUser.User.Id =='xxxxxxx',從而把當前登錄的用戶名與當時設計規則時選定的用戶id對比
14 rule.PrivilegeRules = rule.PrivilegeRules.Replace(Define.DATAPRIVILEGE_LOGINUSER, loginUser.User.Id);
15 var roles = loginUser.Roles.Select(u => u.Id).ToList();
16 roles.Sort(); //按字母排序,這樣可以進行like操作
17 rule.PrivilegeRules = rule.PrivilegeRules.Replace(Define.DATAPRIVILEGE_LOGINROLE,
18 string.Join(',',roles));
19 }
20 return UnitWork.Find<T>(null).GenerateFilter(parametername,
21 JsonHelper.Instance.Deserialize<FilterGroup>(rule.PrivilegeRules));
22 }

這樣在我們自己的應用中,使用上面的函數創建一個基礎查詢,再加上自定義的查詢條件即可輕鬆實現數據權限的控制。


  1             var result = new TableData(); 
2 var objs = GetDataPrivilege("u");
3 if (!string.IsNullOrEmpty(request.key))
4 {
5 objs = objs.Where(u => u.Id.Contains(request.key));
6 }
7
8 result.data = objs.OrderBy(u => u.Id)
9 .Skip((request.page - 1) * request.limit)
10 .Take(request.limit);

最後


以上所有代碼均已實現並開源(配置數據規則的界面可以自己畫,layui的前端畫起來實在太費力),秉承代碼之美,為.net core添磚加瓦,喜歡的star一下!


 


 

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理【其他文章推薦】

※高價收購3C產品,價格不怕你比較



※如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!



網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!



3c收購,鏡頭 收購有可能以全新價回收嗎?



※想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師"嚨底家"!!



Orignal From: 大話設計,沒有模式—通用權限設計與實現

留言

這個網誌中的熱門文章

強強聯手!攜手打造雲林縣Web3.0 領地方品牌進軍元宇宙

中華電信攜手國內最大Potato Media Web3.0社群共享平台,及品牌醫生果俐文創三方結合,透過經濟部「CBMP智慧雲遊跨域串連計畫」,協助品牌數位轉型,帶動品牌體驗情境、新商業模組升級與行動支付應用,第一站選在雲林縣當地原生消費品牌,打造社群消費循環,探索近期最夯的元宇宙新玩法。 Potato Media執行長顏宏霖表示,在CBMP計畫協助下,加上站內Web3.0資源,將快速協助雲林縣當地品牌升級轉型,幫助店家創造品牌價值,包含黑矸仔醬油、四代目麥芽酥、玉津烘焙坊、禪屋米胖工坊、YuDS沐耳飲、莫蒂精品巧克力、維野納複合式餐飲、頂雲咖啡、媽祖埔豆腐張、玉山碾米廠等,另外嘉義市麥麵、名香茗茶也等不及跨縣市加入,結合Potato Media站內活動,打造雲林專屬限定NFT道具與頭框,發行雲林扭蛋,體驗全新元宇宙新世界。 左起雲林縣計畫處處長李明岳、果俐文創執行長-陳郁涵、雲林縣議員周秀月、中華電信雲林營運處總經理張肇家、Potato Media執行長顏宏霖、LINE禮物代表睿鼎數位、12CMTaiwan行銷總監楊涵柔。(圖/由Potato Media提供) 此次Potato Media平台合作內容是店家會員註冊活動:首次註冊可得100積分 + 一顆扭蛋,店家推薦文章介紹,可領取店家消費優惠券,站內扭蛋禮物抽獎活動,獎項豐富:雲林限定禮品、雲林意象限定NFT道具與頭框,雲林幣扭一下APP政令大聲公獎勵活動,另外各種雲林美食伴手禮、住宿旅遊的店家,都可以使用行動支付或上LINE禮物平台實際體驗消費。 推薦評價好的 iphone維修 中心 擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢 產品缺大量曝光嗎?你需要的是一流 包裝設計 窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。 雲林縣副縣長謝淑亞強調,此次計畫和Potato Media 合作,Potato Media 是一個在 2021 年 4 月正式發布的「區塊鏈 Web3.0 共享社群平台」,創作者和使用者都可以透過互動的機制,例如對文章點讚、留言與轉發分享,來獲取相對應比例的加密貨幣CFO(Potato Media 平台上的原生加密貨幣),跟Facebook、Instagram、YouTu...

要上網站行銷農產品,得經過市政府抽驗農藥殘留,檢驗合格才能上網行銷

台北網站設計      網頁設計公司     網站設計公司 食安五環為「源頭控管」、「重建生產管理履歷」、「提高查驗能力」、「加重生產者、廠商的責任」及「鼓勵、創造監督平臺」五大要環,除推動政府與市民消費者共同監督食品安全,更要從農場到餐桌,鏈結農村產業線,以網路社群為媒介,建立嘉義市農村網頁平台。活動現場介紹「農抵嘉」產銷網頁平台的內容,包含在地人文地產景,將景觀、產業、生態及文化等資訊整合、展現,更推廣在地農村農友優質、安全的農產品。要上「農抵嘉」網站行銷農產品,得經過市政府抽驗農藥殘留,檢驗合格才能上網行銷自己的農產品,嘉義市農友可以多利用,也提供店家採購管道。 「尚安心,農抵嘉」,透過「農抵嘉」產銷網頁平台,鏈結農村產業線並促進地產地消,從源頭管理食安,讓政府管理、民間參與,透過食安小教育,讓小朋友接觸農作物,與生產者互動,產生共鳴,一同攜手維護嘉義市的食安。記者會中也展示紅瓦厝社區所做的紅瓦窯烤,並有其他下埤花生等農產品,透過農場職人使「農特產品不只是農產品」,民眾可登入「農抵嘉」網頁http://chiayirural.com/index.asp瞭解更進一步的訊息。 網動廣告 參考資料:蕃新聞https://n.yam.com/Article/20171226529712 Orignal From: 要上網站行銷農產品,得經過市政府抽驗農藥殘留,檢驗合格才能上網行銷

IEA:疫情衝擊能源需求 但再生能源呈創紀錄成長_台中搬家公司

※ 台中搬家公司 教你幾個打包小技巧,輕鬆整理裝箱! 還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」 摘錄自2020年11月10日中央社報導 國際能源總署(IEA)報告今天(10日)指出,武漢肺炎(COVID-19)疫情可能衝擊能源需求,但電力部門再生能源繼續以創紀錄速度成長。 IEA執行董事比羅爾(Fatih Birol)表示:「在2025年,再生能源將成為全球最大發電來源,預計將提供1/3的全球電力,終結煤炭50年來作為最大電力供應來源的地位。」 ※推薦 台中搬家公司 優質服務,可到府估價 台中搬鋼琴,台中金庫搬運,中部廢棄物處理,南投縣搬家公司,好幫手搬家,西屯區搬家 IEA關於再生能源的年度報告估計,儘管受到疫情干擾,今年的再生能源新發電容量可望創紀錄,達將近200GW(GW為十億瓦)。 能源轉型 國際新聞 再生能源 疫情看氣候與能源 本站聲明:網站內容來源環境資訊中心https://e-info.org.tw/,如有侵權,請聯繫我們,我們將及時處理 ※ 台中搬家公司 教你幾個打包小技巧,輕鬆整理裝箱! 還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」 Orignal From: IEA:疫情衝擊能源需求 但再生能源呈創紀錄成長_台中搬家公司