基于角色的松耦合式權(quán)限控制設(shè)計(jì)

權(quán)限架構(gòu)

主體采用RBAC(Role-Base Access Control,基于角色的訪問(wèn)控制)模型，就是用戶(hù)通過(guò)角色和權(quán)限進(jìn)行關(guān)聯(lián)實(shí)現(xiàn)，多對(duì)多的用戶(hù)角色關(guān)系模式。

要由用戶(hù)管理、角色管理、菜單管理幾部分組成，角色權(quán)限管理包括功能菜單權(quán)限、操作權(quán)限，數(shù)據(jù)權(quán)限控制，權(quán)限主要由功能權(quán)限(界面權(quán)限、菜單權(quán)限、操作權(quán)限)和數(shù)據(jù)權(quán)限構(gòu)成。

技術(shù)架構(gòu)

系統(tǒng)整體采用微服務(wù)架構(gòu)，安全模塊采用OAuth2開(kāi)放式授權(quán)標(biāo)準(zhǔn)，Token令牌采用JWT標(biāo)準(zhǔn)實(shí)現(xiàn)，技術(shù)框架采用SpringCloud+SpringGateway+SpringSecurity+自定義權(quán)限表達(dá)式。

（Open Authorization，開(kāi)放授權(quán)）是為用戶(hù)資源的授權(quán)定義了一個(gè)安全、開(kāi)放及簡(jiǎn)單的標(biāo)準(zhǔn)，第三方無(wú)需知道用戶(hù)的賬號(hào)及密碼，就可獲取到用戶(hù)的授權(quán)信息。

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開(kāi)放標(biāo)準(zhǔn)（(RFC 7519).該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場(chǎng)景。

JWT的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶(hù)身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

權(quán)限配置

密鑰配置

系統(tǒng)遵循OAuth2開(kāi)放式授權(quán)標(biāo)準(zhǔn)協(xié)議，Token令牌采用RSA非對(duì)稱(chēng)加密算法加密，系統(tǒng)用戶(hù)密碼采用MD5加密。

權(quán)限表達(dá)式配置

鑒權(quán)（authentication）是指驗(yàn)證用戶(hù)是否擁有訪問(wèn)系統(tǒng)的權(quán)利，鑒權(quán)配置即配置哪些資源需要什么權(quán)限才能訪問(wèn)，配置資源與權(quán)限之間的關(guān)系。

權(quán)限配置文件位于resources/security.yml

在介紹權(quán)限表達(dá)式配置之前需要先了解下權(quán)限表達(dá)式、URL路徑、權(quán)限謂詞3個(gè)概念， 權(quán)限表達(dá)式描述資源權(quán)限的邏輯關(guān)系，包括請(qǐng)求方式、URL路徑、權(quán)限謂詞3個(gè)部分， 請(qǐng)求方式即HTTP請(qǐng)求方法，如：GET、POST、PUT、DELETE等，URL路徑即需要鑒權(quán)的URL路徑地址，支持多種通配符匹配，權(quán)限謂詞用于描述或判定權(quán)限性質(zhì)、特征或權(quán)限之間關(guān)系的表達(dá)式。

格式語(yǔ)法

目前支持兩種類(lèi)型的權(quán)限表達(dá)語(yǔ)法，分別功能權(quán)限表達(dá)式、數(shù)據(jù)權(quán)限表達(dá)式。

功能權(quán)限表達(dá)式

HTTP請(qǐng)求方法 URL路徑=權(quán)限謂詞表達(dá)式

紅色部分：HTTP請(qǐng)求方法，例如GET、POST、PUT、DELETE等

黃色部分：空格占位符

綠色部分：URL表達(dá)式，支持多種通配符。例如：/app/*/users，app/**

橙色部分：等于號(hào)占位符，描述左側(cè)匹配資源需要右側(cè)權(quán)限。

藍(lán)色部分：權(quán)限謂詞，例如：(view&&export)||edit表示需要查看與導(dǎo)出權(quán)限，或者編輯權(quán)限。

數(shù)據(jù)權(quán)限表達(dá)式

HTTP請(qǐng)求方法 URL路徑參數(shù)=權(quán)限謂詞表達(dá)式參數(shù)

淺綠色部分：參數(shù)占位符，數(shù)據(jù)定位參數(shù)顧名思義用于唯一標(biāo)識(shí)行級(jí)數(shù)據(jù)的參數(shù)，支持多參數(shù)標(biāo)識(shí)，支持批量行數(shù)據(jù)定位鑒權(quán)。

URL路徑表達(dá)式

URL路徑表達(dá)式，用于配置需要進(jìn)行鑒權(quán)的資源路徑地址。路徑有三種通配符匹配方法，這些可以組合出很多種靈活的路徑模式

示例：

權(quán)限謂詞

支持與或非邏輯運(yùn)算: 例如: a&&b, a||b, (a&&b)||(c&&d), a&&b||c, !a, !(a&&b)，例如：view&&export)||edit表示校驗(yàn)是否擁有查看和導(dǎo)出的權(quán)限，或者編輯權(quán)限。

參數(shù)

數(shù)據(jù)權(quán)限控制需要唯一標(biāo)識(shí)行數(shù)據(jù)，用于驗(yàn)證用戶(hù)是否有該數(shù)據(jù)的操作權(quán)限，參數(shù)占位符為數(shù)據(jù)定位器的參數(shù)名，支持單參數(shù)、復(fù)合參數(shù)，單條數(shù)據(jù)定位鑒權(quán)({參數(shù)名}大括號(hào))，批量數(shù)據(jù)定位鑒權(quán)([參數(shù)名]中括號(hào))。例如單參數(shù)userId用戶(hù)編號(hào)，productId產(chǎn)品編號(hào)，復(fù)合參數(shù)type類(lèi)型、productId產(chǎn)品編碼，批量數(shù)據(jù)權(quán)限鑒權(quán)userIds用戶(hù)編碼集，需要指出的是每個(gè)表達(dá)式運(yùn)算的數(shù)據(jù)對(duì)象是每一條數(shù)據(jù)。

示例：

一個(gè)參數(shù)時(shí)權(quán)限項(xiàng)表達(dá)式參數(shù)默認(rèn)可以不配置/user/{id}=view&&eidt等于/user/{id}=view{id}&&eidt{id} 路徑參數(shù)

實(shí)體參數(shù)

復(fù)合參數(shù)

元素配置

權(quán)限配置由permit-paths白名單、jwt-users來(lái)賓用戶(hù)、resource資源權(quán)限3部分元素組成，其中resource元素包括authrities、data-authrities兩部分元素。

permit-paths白名單

無(wú)需進(jìn)行權(quán)限過(guò)濾的請(qǐng)求路徑，當(dāng)系統(tǒng)有些資源不需要進(jìn)行權(quán)限過(guò)濾的時(shí)候配置該元素，配置語(yǔ)法如下圖所示，路徑表達(dá)式配置。

Resource資源權(quán)限

資源權(quán)限配置元素為權(quán)限模塊的核心元素，包括authrities功能權(quán)限、data-authrities數(shù)據(jù)權(quán)限，兩者的區(qū)別在于功能權(quán)限為URL匹配路徑的權(quán)限控制，數(shù)據(jù)權(quán)限在URL匹配路徑的基礎(chǔ)上增加了數(shù)據(jù)鑒權(quán)控制。

Authrities功能權(quán)限

功能權(quán)限控制，通常表示界面業(yè)務(wù)功能接口權(quán)限的控制，例如：用戶(hù)列表數(shù)據(jù)獲取接口，用戶(hù)信息添加、刪除、更新等等接口的權(quán)限控制。

data-authrities數(shù)據(jù)權(quán)限

數(shù)據(jù)權(quán)限控制，為更細(xì)粒度的權(quán)限控制，是對(duì)業(yè)務(wù)行級(jí)數(shù)據(jù)的操作權(quán)限進(jìn)行控制，例如用戶(hù)只能查看、操作自己創(chuàng)建的數(shù)據(jù)，管理員可以賦權(quán)給指定的用戶(hù)或角色查看、操作某些某條數(shù)據(jù)。

微前端

微前端架構(gòu)是一種類(lèi)似于微服務(wù)的可插拔式架構(gòu)，它將微服務(wù)的理念應(yīng)用于瀏覽器端，即將 Web 應(yīng)用由單一單體應(yīng)用變?yōu)槎鄠€(gè)小型可獨(dú)立運(yùn)行、獨(dú)立開(kāi)發(fā)、獨(dú)立部署的應(yīng)用。

前端頁(yè)面通過(guò)微前端加載器，利用頁(yè)面路由和動(dòng)態(tài)加載等技術(shù)，實(shí)現(xiàn)前端集成主頁(yè)面與微前端的“拼圖式”開(kāi)發(fā)。前端集成項(xiàng)目團(tuán)隊(duì)只需關(guān)注前端整體風(fēng)格、微前端之間的數(shù)據(jù)交互和頁(yè)面路由等內(nèi)容，不涉及前端與后端之間以及后端與后端之間的 API 集成，從而降低集成過(guò)程中的技術(shù)敏感度、團(tuán)隊(duì)溝通成本和集成復(fù)雜度，提高交付效率和用戶(hù)體驗(yàn)。

外部系統(tǒng)前端應(yīng)用部署集成，各系統(tǒng)前端應(yīng)用組件獨(dú)立打包部署，通過(guò)配置部署、動(dòng)態(tài)加載應(yīng)用、統(tǒng)一生命周期管理。

總結(jié)

基于權(quán)限表達(dá)式實(shí)現(xiàn)的系統(tǒng)可輕松集成被集成，業(yè)務(wù)系統(tǒng)作為子系統(tǒng)存在，安全權(quán)限管理由宿主統(tǒng)統(tǒng)一處理，將復(fù)雜且耦合性高的權(quán)限控制從業(yè)務(wù)服務(wù)中剝離，業(yè)務(wù)子系統(tǒng)只需關(guān)注業(yè)務(wù)邏輯處理，真正做到無(wú)縫集成，降低了系統(tǒng)集成的難度與復(fù)雜性，提升了系統(tǒng)的整體性能和可維護(hù)性。

系統(tǒng)權(quán)限模塊只是實(shí)現(xiàn)了基本的權(quán)限控制需求，還存在許多需要完善的地方，例如前端頁(yè)面功能按鈕的權(quán)限控制、大數(shù)據(jù)量的權(quán)限數(shù)據(jù)維護(hù)繁瑣，需要一條條添加維護(hù)好菜單、功能權(quán)限、操作權(quán)限數(shù)據(jù)，手動(dòng)配置鑒權(quán)數(shù)據(jù)極易出錯(cuò)等等?；蛟S將來(lái)有需要可以?xún)?yōu)化的地方。

自動(dòng)識(shí)別功能權(quán)限數(shù)據(jù)

集成新的業(yè)務(wù)服務(wù)維護(hù)功能權(quán)限數(shù)據(jù)需要對(duì)業(yè)務(wù)服務(wù)接口全面了解，需要一條條維護(hù)好功能接口，URL地址、權(quán)限標(biāo)識(shí)符極易存在拼寫(xiě)錯(cuò)誤，或許可以通過(guò)一定的場(chǎng)景自動(dòng)掃描獲取注冊(cè)服務(wù)所有公開(kāi)的資源接口，管理員可以在系統(tǒng)里通過(guò)界面自動(dòng)查看、搜索資源接口動(dòng)態(tài)可選擇地導(dǎo)入接口數(shù)據(jù)(功能權(quán)限數(shù)據(jù))。

自動(dòng)初始化操作權(quán)限

一般功能操作為增、刪、改、查，可以在添加菜單數(shù)據(jù)后自動(dòng)初始化操作功能，用戶(hù)也可以單獨(dú)添加修改操作功能數(shù)據(jù)。

基礎(chǔ)數(shù)據(jù)權(quán)限可配置

根據(jù)需要可以通過(guò)界面，選擇需要進(jìn)行數(shù)據(jù)權(quán)限控制的業(yè)務(wù)模塊，自動(dòng)導(dǎo)入數(shù)據(jù)權(quán)限控制基礎(chǔ)數(shù)據(jù)。

自助式鑒權(quán)配置

用戶(hù)可以通過(guò)可視化界面簡(jiǎn)單操作配置白名單、來(lái)賓用戶(hù)權(quán)限、資源權(quán)限等數(shù)據(jù)，支持鑒權(quán)配置數(shù)據(jù)導(dǎo)入導(dǎo)出等，例如：自動(dòng)列出所有功能接口通過(guò)搜索、勾選等方式選擇需要鑒權(quán)的資源，引導(dǎo)式配置權(quán)限謂詞表達(dá)式等。