最近公司計劃將內(nèi)部系統(tǒng)打造成商業(yè)化的Saas產(chǎn)品,我們組負(fù)責(zé)產(chǎn)品的研發(fā)任務(wù)����。理論上,這套系統(tǒng)在公司內(nèi)部業(yè)務(wù)中已經(jīng)打磨了5年+����,對于我們這個細(xì)分行業(yè)來說已經(jīng)非常成熟����,只需要稍加改造����,適配多租戶模式即可。但是����,在項目架構(gòu)設(shè)計中,發(fā)現(xiàn)有很多需要重新梳理和考慮的地方����。今天,主要是針對數(shù)據(jù)權(quán)限這塊的設(shè)計和大家分享一下����。
在IM聊天場景中����,有個很重要功能是����,每個用戶都要查看自己的會話(聊天記錄)����。比如����,普通咨詢師可能就只能查看自己的聊天����,主管可以查看組員咨詢師的聊天,CEO可以查看所有咨詢師的聊天����。這樣的需求在我們的系統(tǒng)中應(yīng)該如何實現(xiàn)呢����?
基于角色的訪問控制(Role-based access control,簡稱 RBAC)����,指的是通過用戶的角色(Role)授權(quán)其相關(guān)權(quán)限,這實現(xiàn)了更靈活的訪問控制����,相比直接授予用戶權(quán)限,要更加簡單����、高效、可擴展����。
當(dāng)使用 RBAC 時,通過分析系統(tǒng)用戶的實際情況����,基于共同的職責(zé)和需求,授予他們不同角色����。你可以授予給用戶一個或多個角色����,每個角色具有一個或多個權(quán)限,這種 用戶-角色����、角色-權(quán)限 間的關(guān)系,讓我們可以不用再單獨管理單個用戶����,用戶從授予的角色里面繼承所需的權(quán)限。
一般來說,我們會將用戶的權(quán)限分為菜單權(quán)限和數(shù)據(jù)權(quán)限����。菜單權(quán)限:控制用戶能看到那些菜單或者按鈕。數(shù)據(jù)權(quán)限:控制用戶能看到的數(shù)據(jù)范圍����。在開始設(shè)計之前,我們可以看看用戶登錄+授權(quán)的過程����,在用戶返回的信息中就會包含角色(roleCodes)����、菜單(permCodes)和數(shù)據(jù)權(quán)限(dataCodes)信息。所以����,角色(roleCodes)、菜單(permCodes)和數(shù)據(jù)權(quán)限(dataCodes)就是需要我們提前設(shè)計好的����。
根據(jù)IM自身的業(yè)務(wù),我們對角色的設(shè)計如下:咨詢師(counselor_role)����、主管(manager_role)����、管理員(admin_role)����。菜單權(quán)限:賬號管理(zhanghaoguanli)、公共設(shè)置(gonggongshezhi)����、...(根據(jù)實際情況定義)。令人頭疼的其實是數(shù)據(jù)權(quán)限的設(shè)計����,我們期望定義一種通用的數(shù)據(jù)權(quán)限。所以����,這里就不得不提到RuoYi系統(tǒng)。
在無意間����,看到了一篇介紹RuoYi系統(tǒng)數(shù)據(jù)權(quán)限設(shè)計分析的文章-《深入分析若依數(shù)據(jù)權(quán)限@datascope (注解+AOP+動態(tài)sql拼接) 【循序漸進(jìn),附分析過程】》����。于是���,筆者對這個開源系統(tǒng)進(jìn)行了體驗���。(點此處直達(dá))[https://demo.ruoyi.vip/index]。登錄RuoYi系統(tǒng)后臺���,映入眼簾的是一堆的大家再熟悉不過的系統(tǒng)菜單���。
-
系統(tǒng)管理
-
用戶管理
-
角色管理
-
菜單管理
-
部門管理
-
崗位管理
-
字典管理
-
...
這里重點查看角色管理菜單,在列表的操作一欄���,可以看到有個更多按鈕���,展開更多按鈕���,數(shù)據(jù)權(quán)限按鈕暴露出來���。
點擊數(shù)據(jù)權(quán)限按鈕,就可以看到數(shù)據(jù)權(quán)限配置窗口���。在這里可以看到數(shù)據(jù)權(quán)限分類如下:全部數(shù)據(jù)權(quán)限���、自定義數(shù)據(jù)權(quán)限���、本部門數(shù)據(jù)權(quán)限、本部門及以下數(shù)據(jù)權(quán)限���、僅本人數(shù)據(jù)權(quán)限���。可以看到這里的數(shù)據(jù)權(quán)限都是基于組織架構(gòu)設(shè)計的���。需要指出的是���,這里的自定義數(shù)據(jù)權(quán)限其實也是基于組織架構(gòu)的選擇,只是可以自由選擇(比如適配跨部門場景)������?傮w來講,RuoYi系統(tǒng)數(shù)據(jù)權(quán)限的設(shè)計是中規(guī)中矩的���,應(yīng)該屬于比較通用的設(shè)計���。這也是我們目前的商業(yè)化項目設(shè)計中值得借鑒的���。
或許還有更好的設(shè)計方案,歡迎大家提出更好的建議���。
-
《什么是基于角色的訪問控制(RBAC)》
-
ruoyi官網(wǎng)
-
《RuoYi-Vue 源碼》
-
《深入分析若依數(shù)據(jù)權(quán)限@datascope (注解+AOP+動態(tài)sql拼接) 【循序漸進(jìn)���,附分析過程】》
小編推薦閱讀
