投稿获客
广告
广告 广告 广告
广告 广告 广告 广告
广告 █ 推荐【菠萝云】香港16G内存99元 【CDNCloud】极速、安全可靠的加速体验 广告位联系QQ:253000106 【UStat】免费网站统计平台 SSL证书低至2折 单域名36元起 免费测试!海总一手APK免杀处理 广告位联系QQ:253000106 CDN 服务器 反炸 劫持 域名屏蔽 【UStat】专业网站统计平台 域名注册:海量域名快速注册 安卓免杀 谷歌报毒 封装 苹果签名 广告位联系QQ:253000106 【域名被劫持污染如何处理】 安卓免杀★超级签★封装★谷歌屏蔽 广告位联系QQ:253000106

*本站广告为第三方投放,如发生纠纷,请向本站索取第三方联系方式沟通

  1. 创想鸟首页
  2. java

为企业应用程序实施动态 RBAC 系统 – 简化

程序猿 java 阅读 0

为企业应用程序实施动态 rbac 系统 - 简化

介绍

在当今的数字环境中,有效的访问管理对于保护资源和数据至关重要。基于角色的访问控制 (rbac) 系统提供了一种结构化方法来管理用户权限和角色。本博客概述了针对不同应用程序需求定制的 rbac 系统的两种变体:通用业务应用程序和企业业务应用程序。

为了说明这些概念,我们将提供管理访问控制的服务的演示代码片段,以及 rbac 系统中使用的每个表的详细说明。

rbac 系统组件

常见业务应用

对于大多数常见的业务应用程序,可以简化 rbac 系统以有效地管理角色和权限,而不会增加复杂性。关键组件是:

用户表

用途:存储用户信息,例如用户名、密码哈希、电子邮件和权限级别。关键列:user_id、用户名、password_hash、电子邮件、部门、clearance_level

角色表

目的:定义应用程序中的角色,详细说明每个角色的名称和描述。关键列:role_id、role_name、description

模块表

目的:列出应用程序模块或资源,描述其目的和功能。关键列:module_id、module_name、description

模块_权限表

用途:指定与每个模块关联的权限,例如读或写访问权限。关键列:module_permission_id、module_id、permission_type

角色_权限表

用途:将角色映射到模块权限,确定角色可以对模块执行哪些操作。关键列:role_permission_id、role_id、module_permission_id

用户角色表

用途:管理用户和角色之间的关系,实现基于角色的访问控制。关键列:user_role_id、user_id、role_id

企业业务应用

企业业务应用程序可能需要额外的组件来处理更复杂的访问控制需求。其中包括:

政策表

企奶奶 企奶奶

一款专注于企业信息查询的智能大模型,企奶奶查企业,像聊天一样简单。

企奶奶 56 查看详情 企奶奶 用途:定义额外的访问规则和条件,提供更精细的控制。关键列:policy_id、policy_name、description

角色_策略表

目的:将角色与策略联系起来,允许角色受特定规则和条件的约束。关键列:role_policy_id、role_id、policy_id

用户_策略表

目的:直接向用户分配策略,容纳个人权限。关键列:user_policy_id、user_id、policy_id

政策_条件表

目的:指定策略的条件,例如上下文或基于属性的约束。关键列:policy_condition_id、policy_id、condition_type、condition_value

contextual_权限表

用途:根据特定上下文应用策略,例如用户部门或位置。关键列:contextual_permission_id、policy_id、context_type、context_value

temporal_constraint 表

用途:管理基于时间的访问,定义策略有效性的开始和结束时间。关键列:temporal_constraint_id、policy_id、start_time、end_time

代表团表

用途:促进临时角色分配,允许用户委派具有指定到期日期的角色。关键列:delegation_id、delegate_user_id、delegator_user_id、role_id、delegate_at、expiration_date

audit_log 表

用途:记录用户操作、模块交互和角色更改,以进行安全和合规性审核。关键列:audit_log_id、user_id、action、module_id、role_id、时间戳、详细信息

演示代码:访问控制服务

这是 java 中 accesscontrolservice 的示例实现,演示了如何在动态 rbac 系统中管理访问控制。此示例涵盖了基本组件并说明了如何处理权限和策略。

import java.time.LocalDateTime;import java.util.List;@Service@Transactionalpublic class AccessControlService {    @Autowired    private UserRepository userRepository;    @Autowired    private RoleRepository roleRepository;    @Autowired    private ModulePermissionRepository modulePermissionRepository;    @Autowired    private RolePermissionRepository rolePermissionRepository;    @Autowired    private UserRoleRepository userRoleRepository;    @Autowired    private PolicyRepository policyRepository;    @Autowired    private UserPolicyRepository userPolicyRepository;    @Autowired    private RolePolicyRepository rolePolicyRepository;    @Autowired    private PolicyConditionRepository policyConditionRepository;    @Autowired    private ContextualPermissionRepository contextualPermissionRepository;    @Autowired    private TemporalConstraintRepository temporalConstraintRepository;    @Autowired    private DelegationRepository delegationRepository;    public boolean hasAccess(String username, Long moduleId, String permissionType) {        // Fetch user        User user = userRepository.findByUsername(username);        if (user == null) {            return false;        }        // Check if user has any delegations        boolean hasDelegatedAccess = checkDelegatedAccess(user.getUserId(), moduleId, permissionType);        if (hasDelegatedAccess) {            return true;        }        // Check if user has direct access via roles        List userRoles = userRoleRepository.findByUserId(user.getUserId());        for (UserRole userRole : userRoles) {            List rolePermissions = rolePermissionRepository.findByRoleId(userRole.getRoleId());            for (RolePermission rolePermission : rolePermissions) {                ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);                if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {                    // Check if role has any associated policies                    if (hasPolicyAccess(user.getUserId(), moduleId, permissionType, modulePermission.getModuleId())) {                        return true;                    }                }            }        }        return false;    }    private boolean checkDelegatedAccess(Long userId, Long moduleId, String permissionType) {        List delegations = delegationRepository.findByDelegateUserId(userId);        LocalDateTime now = LocalDateTime.now();        for (Delegation delegation : delegations) {            // Check if delegation is expired            if (delegation.getExpirationDate() != null && delegation.getExpirationDate().isBefore(now)) {                continue;            }            List rolePermissions = rolePermissionRepository.findByRoleId(delegation.getRoleId());            for (RolePermission rolePermission : rolePermissions) {                ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);                if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {                    return true;                }            }        }        return false;    }    private boolean hasPolicyAccess(Long userId, Long moduleId, String permissionType, Long modulePermissionId) {        // Check policies assigned directly to the user        List userPolicies = userPolicyRepository.findByUserId(userId);        for (UserPolicy userPolicy : userPolicies) {            if (isPolicyValid(userPolicy.getPolicyId(), moduleId, permissionType)) {                return true;            }        }        // Check policies assigned to roles        List userRoles = userRoleRepository.findByUserId(userId);        for (UserRole userRole : userRoles) {            List rolePolicies = rolePolicyRepository.findByRoleId(userRole.getRoleId());            for (RolePolicy rolePolicy : rolePolicies) {                if (isPolicyValid(rolePolicy.getPolicyId(), moduleId, permissionType)) {                    return true;                }            }        }        return false;    }    private boolean isPolicyValid(Long policyId, Long moduleId, String permissionType) {        // Check policy conditions        List conditions = policyConditionRepository.findByPolicyId(policyId);        for (PolicyCondition condition : conditions) {            // Add logic to evaluate conditions based on conditionType and conditionValue            // e.g., Check if context or attribute matches the condition        }        // Check contextual permissions        List contextualPermissions = contextualPermissionRepository.findByPolicyId(policyId);        for (ContextualPermission contextualPermission : contextualPermissions) {            // Add logic to evaluate contextual permissions            // e.g., Check if current context matches the contextualPermission        }        // Check temporal constraints        List temporalConstraints = temporalConstraintRepository.findByPolicyId(policyId);        for (TemporalConstraint temporalConstraint : temporalConstraints) {            LocalDateTime now = LocalDateTime.now();            if (now.isBefore(temporalConstraint.getStartTime()) || now.isAfter(temporalConstraint.getEndTime())) {                return false;            }        }        return true;    }}

结论

通过区分普通业务应用和企业业务应用,您可以定制您的rbac系统

以上就是为企业应用程序实施动态 RBAC 系统 – 简化的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/497099.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年11月8日 18:31:56
下一篇 2025年11月8日 18:32:48

相关推荐

发表回复

登录后才能评论
关注微信