1.权限系统是什么

权限系统就是系统的安保系统，保障系统的功能谁能使用，谁可以操作哪些数据

2.权限系统的组成

• 功能权限

决定了用户能够使用哪些功能

• 行数据权限

决定了用户能够使用哪些行数据

• 列数据权限

决定列用户能够查操作哪些列的数据

3.功能权限系统的实现方式

• tomcat的内置权限
• shiro
• spring security
• 自定义的权限系统

3.1.功能权限的粒度大小

• 粗粒度，只控制菜单的展示
• 细粒度，控制web系统，所有可操作的按钮的展示，同时后端还应该能够对url进行拦截

3.2.如何实现细粒度的功能权限控制

• 每个功能，使用一个namespace表示，比如user.add,user.update,user.delete
• 用户登录时，获取该用户所有的namespace
• 渲染界面时，根据namespace的范围，来决定是否显示该功能
• 后端拦截的实现和前端基本一致，每个功能namespace绑定后端对应的uri
• 后端session存储该用户所有的uri
• 请求时，filter过滤该uri，如果具备访问权限，通过请求

3.3.RBAC(Role Base Acess Control)模型的介绍

权限模型

在授权时，把权限都集中收于给Role，然后将Role授予User，达到提高效率的一个方式，但是本质还是把权限授予给了具体的用户。

3.4.基于RBAC的衍生模型

RBAC衍生模型

衍生了用户组的概念

3.5.RBAC等模型的本质

无论模型怎么变化，但是最终的权限落地，都是将权限授予用户。在方案选型时，要关注业务的复杂度与哪种模型的匹配度较为吻合，切勿好高骛远，过度选型。

4.行数据权限

数据权限的实现，目前业界并无通用的解决方案，所以这里面主要是介绍一种模型，大家可以借助模型，去发现系统的数据权限模型

4.1识别权限实体

在做数据权限时，第一步就是要识别出权限实体。下面举几个例子

• crm系统，权限实体是客户
• 订单管理系统，权限实体是订单
• 库存管理系统，权限实体是货品

4.2.识别系统要做到哪种级别权限控制

• 只读、只写、读写
• 是否有部门领导
• 是否需要部门传递关系
  比如在上面的图片中，假设员工骆宏属于A部门，那么员工A是否能够看到（B,C,D,E,F,G,H,G,K），如果可以，就代表具备传递性

4.3.数据存储的实现方式

• 将权限数据，权限实体实体数据独立出来存储
• 将权限数据寄存与权限实体中
  下面分别举个列子
  假设有下面的场景，订单1000001，员工A，员工B，其中存储订单的数据叫做lh_order

方案1: [1000001,A]的数据需要存储在一个数据权限表中，我们叫他lh_auth_data，那么就存储一条[1000001,A]
方案2:直接把数据存储在lh_order即可，也就是jt_order中有一条积累[1000001,A]
这两个方案都可以，但是查询的性能会有却别

4.3.1.方案优缺点对比

方案1由于多了一个表，在查询时，可能会导致性能下降，但是却留了一个很好的扩展点，比如1000001同时支持B管理，只需要在lh_auth_data插入[1000001,B]
方案2查询性能较好，但是却扩展不易，假设需要支持B，那么将处理起来非常棘手

4.4.数据的sql查询模型

假设权限实体是：account、product_group、country

select xxx from xx_table where account in (xxx) and product_group in (xxx) and country in (xxx)

4.5.查询性能的问题

在4.4的查询模型中，我们发现使用的是in查询，我们都知道，mysql的in是有效率问题的，当数据规模来到kw级别时，上面的模型就会出现性能的极速下降。
为了突破该性能限制，我们借助tree，以及mysql的前置like查询

20180408123706965.png

A: 10
B: 10001
C: 10002
D: 10003
E: 10001001
F: 10001002
...

假设我们能够将权限实体，进一步的用tree来组织，然后将权限实体的in转换为tree key like '10001%'的模型，我们可以发现，即利用上了mysql的索引，又解决了in的效率问题。

4.5.1.小心tree的key陷阱

在上面，我们使用tree key来处理，但是我们注意到，tree key是有数量限制的，比如A的直接子节点，key范围是:[10001,99999]，假设超过了该tree key时，需要考虑怎么进行数据保护。

5.列数据权限

5.1数据

我们先看一个简单的列子，用户管理，api返回的数据如下

[
    {
        "name": "骆宏",
        "age": 27,
        "tel": "15013336**4",
        "school": "广东海洋大学",
        "job": "高级开发工程师"
    },
    {
        "name": "骆宏",
        "age": 27,
        "tel": "15013336**4",
        "school": "广东海洋大学",
        "job": "高级开发工程师"
    }
]

5.2.前端界面的效果

对A用户，无权限控制的现实效果

名字	年龄	电话	学校	工作
骆宏	26	1380013800	广东海洋大学	高级java开发工程师

对B用户，age、tel无权限查看

名字	年龄	电话	学校	工作
骆宏	*	*	广东海洋大学	高级java开发工程师

编辑界面同理，直接变成disabled即可

5.2.设计实现

实现主要有如下几个步骤

5.2.1.进行数据namespace

比如下面数据

{
    "name": "骆宏",
    "age": 27,
    "tel": "15013336**4",
    "school": "广东海洋大学",
    "job": "高级开发工程师"
}

借用功能权限的设计，给需要做列权限控制的数据，进行数据namespace，比如用户管理的namespace为user.module，可具备管理的key有name,age,tel,school,job

5.2.1.对数据进行授权

将用户管理(user.module)的name,age,tel,school,job访问权限授予角色A

5.2.1.获取权限上下文

将系统的所有权限，使用权限上下文抽象
上下文数据结构类似下面

{
    "name": "角色A",
    "用户列表": [1,2,3,4],
    "功能权限列表":["user.add","user.delete"],
    "行权限列表":["部门key1","部门key2","部门key3"],
    "列权限列表":[{    
            "name": "用户管理",
            "columns": "可以访问的列"
    }]          
}

5.2.1.后端过滤

在访问时，根据用户id，以及权限上下文，将无权限访问的key，设置为*

6.面对权限系统的变化

唯一不变的，只有变化。在建设系统时，有时候一开始并未能很直接的catch住核心业务，或者是核心业务本身也是变化的。所以在设计权限时，应该做到

• mvp原则，也就是最小可用原则
• 预留变化，比如上面提到的存储方案，是将权限数据剥离权限实体呢，还是与权限实体共存
• 保持权限的简单，不要过度预测，不要过度设计，比如RBAC模型的决策时，是否一上来就选择RBAC的扩展模型，还是先使用最简单的RBAC模型

6.权限代码的抽象

• 抽象出权限上下文
• 需要权限支持的模块，集成时统一调用权限上下文的api，切忌将权限模块的代
  码污染了其他模块

    DataAuthContext dataAuthContent = dataAuthContextService.getByUserId(userId);

7.写在最后

没有最完美的设计，只有最适合的设计。权限模型在建设系统时，是非常关键的一步，做好了，后面的人处理权限时，非常简单。如果做的不好，那么权限的代码就会遍布系统，遍布N个模块，重构过N个权限系统的我，苦不堪言...

谢谢大家看到最后，Thank you for you reading
参考链接：功能权限的设计
数据权限的设计