基于資源控制的權(quán)限管理系統(tǒng)設(shè)計方法

李衛(wèi)麗　金小俊　趙化

摘要：[目的]為了解決傳統(tǒng)的基于角色的權(quán)限控制系統(tǒng)在實施過程中的重復(fù)性工作量大及配置過程較為抽象的缺點。[方法]采用“一切皆資源”的理念，以資源樹為基本配置模型，構(gòu)建新的基于資源的權(quán)限控制系統(tǒng)。[結(jié)果]這種理念及實施過程易于理解，并能有效減少大量重復(fù)性配置工作。[結(jié)論]基于資源的權(quán)限控制的系統(tǒng)設(shè)計方法，可極大提高權(quán)限控制的工作效率，并減輕系統(tǒng)的維護成本。

關(guān)鍵詞：權(quán)限管理系統(tǒng);基于角色的權(quán)限控制;一切皆資源;資源樹

中圖分類號：TP311? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2021）03-0044-02

Abstract： For solving the disadvantage in traditional permission management based on roles， which makes the operation complex and abstract， this article tries to construct a new permission manage system which based on the idea of ‘everything is resource and the model of resource tree. This operation of this new system is easier and more understandable which can efficiently reduce the repetition. This design method based on resource can effectively raise the working efficiency and cut down the cost of maintenance.

Key words： permission management system; permission controlling based on roles; everything is resource; resource tree

基于角色的訪問控制（Role-Based Access Control， RBAC）[1]模型是20世紀(jì)90年代研究提出的一種模型，其中以美國George Mson大學(xué)信息安全技術(shù)實驗室提出的RBAC96模型最具代表性，并得到了普通的公認(rèn)。RBAC是當(dāng)前非常流行的權(quán)限管理系統(tǒng)設(shè)計[2]，它認(rèn)為權(quán)限授權(quán)的過程可抽象地概括為：Who是否可以對What進行How的訪問操作，并對這個邏輯表達式進行判斷是否為true的求解過程。Who， What， How構(gòu)成了訪問權(quán)限的三元組。RBAC是一種基于角色的權(quán)限管理系統(tǒng)設(shè)計方案，通過角色，可以批量賦予用戶相同的權(quán)限。RBAC主要用于控制用戶對資源等的訪問。通過對進程和用戶應(yīng)用安全屬性，RBAC可以向多個管理員分派超級用戶功能[3]。RBAC在實際應(yīng)用中，更像是一種模型，一種思想，不需要完全參照其實現(xiàn)。RBAC簡化了給用戶賦權(quán)的操作，其基礎(chǔ)架構(gòu)如圖1所示[4-5]：

1 基于角色的權(quán)限控制系統(tǒng)現(xiàn)狀

RBAC存在的一個最大的缺點是，配置操作比較抽象。權(quán)限的描述，一般會采用前后端都可識別的編碼格式。尤其對于頁面元素相關(guān)的權(quán)限，若存在描述相似的功能，很難進行直觀區(qū)別，這就容易導(dǎo)致在權(quán)限配置過程中配置錯誤。

2 基于資源控制的權(quán)限管理系統(tǒng)設(shè)計方案描述

2.1 概述

在RBAC基礎(chǔ)之上，本文提出了一種“一切皆資源”的設(shè)計理念，在權(quán)限之下再下沉一層，提出資源的概念。“一切皆資源”，即所有想要進行控制的具體的（頁面、按鈕都能）以及抽象的（接口等）等對象都視為資源。資源是實現(xiàn)權(quán)限控制的最小原子單位，資源在本質(zhì)上就是權(quán)限，只不過在資源的概念之上，可認(rèn)為權(quán)限是資源的集合。在“一切皆資源”的實踐中，可以進行數(shù)據(jù)控制，舉例說明：對某個公司的數(shù)據(jù)的可訪問權(quán)限，可建立一種抽象的數(shù)據(jù)權(quán)限資源。通過該類資源所關(guān)聯(lián)的權(quán)限配置，可控制不同角色或具有不同權(quán)限的人員看到不同的數(shù)據(jù)，從控制層面實現(xiàn)“千人千面”。

2.2 詳述

在“一切皆資源”的基礎(chǔ)之上，我們進而提出資源樹的概念。資源樹是一種將抽象的權(quán)限資源用樹形結(jié)構(gòu)上的節(jié)點來具體化，即：對應(yīng)于頁面上的對象，如頁面、菜單、按鈕等，可按各元素之間的層級依次建立對應(yīng)的資源節(jié)點，根據(jù)層級關(guān)系進而形成權(quán)限資源樹。資源樹建立完成后，可對應(yīng)創(chuàng)建需要的權(quán)限，然后與角色綁定實現(xiàn)權(quán)限的控制。資源樹的建立，將權(quán)限對應(yīng)地進行形象化，樹形結(jié)構(gòu)的層級化使得在權(quán)限分配過程中，可按照樹形結(jié)構(gòu)進行權(quán)限分配，分配過程對于操作者直觀且易于操作。

2.3 實施

基于資源的權(quán)限控制整體架構(gòu)圖如圖2所示。

下面主要描述基于資源的權(quán)限管理系統(tǒng)的實現(xiàn)過程：

首先是資源的創(chuàng)建。依據(jù)“一切皆資源”的概念，資源的概念包括具體的，例如：頁面、菜單、按鈕等，還包括抽象的，比如：接口、可篩選的數(shù)據(jù)范圍，甚至可擴展至系統(tǒng)、業(yè)務(wù)線等等一切想進行操作權(quán)限區(qū)分的事物。資源的實現(xiàn)可以通過將資源詳情用易解析、易擴展的json格式來保存，對于具體類型的資源類型，資源詳情可保存對應(yīng)的資源所屬頁面的url地址、icon以及唯一性標(biāo)識id等信息，可參考如下配置：{"key"： "sub00-08-05-01"， "icon"： ""， "name"： "報表權(quán)限申請"， "path"： "/pmo-config-form"， "description"： "報表權(quán)限申請"};對于抽象資源，可按照業(yè)務(wù)需求保存為業(yè)務(wù)端可識別的編碼，比如典型的數(shù)據(jù)權(quán)限可參考如下配置：{"permissionCode"： "tmOrgRole_001"}， {"comp_code"： ["own"]， "dept_code"： ["own"]， "costcenter"： ["own"]}。

接著就是資源樹的構(gòu)建。按照“一切皆資源”的方法，根據(jù)頁面的層級關(guān)系，依次建立具有層級關(guān)系的資源樹。為保存層級關(guān)系，每級的資源需保存其父節(jié)點的唯一標(biāo)識，同時，為支持各種類型的資源，可在資源創(chuàng)建時為資源劃分類型，如常用的數(shù)據(jù)權(quán)限等。

剩余的工作則是RBAC的通用操作部分。建立角色，角色與權(quán)限的綁定，人員通過角色得到對應(yīng)的權(quán)限。

系統(tǒng)整體可分為組織架構(gòu)模塊和權(quán)限控制模塊，架構(gòu)圖如圖3所示。

組織架構(gòu)部分，可采用領(lǐng)域驅(qū)動設(shè)計，從不同視角根據(jù)公司業(yè)務(wù)創(chuàng)建公司、部門、崗位、人員等信息，必要時可以擴展大區(qū)等信息。組織架構(gòu)雖然不是權(quán)限管理的范疇，但卻是權(quán)限管理的必要條件，權(quán)限管理必須依托于各公司獨特的組織架構(gòu)，否則脫離了公司的組織架構(gòu)，同樣會帶來管理維護困難等問題。

權(quán)限管理模塊，可根據(jù)要控制的對象分為控制權(quán)限和數(shù)據(jù)權(quán)限。對控制權(quán)限，根據(jù)所要控制的元素做最小劃分，自頂而下依次創(chuàng)建頁面、菜單、按鈕、接口等控制類資源，在數(shù)據(jù)存放時需要保存資源的父子節(jié)點關(guān)系，并且接口權(quán)限資源根據(jù)頁面的調(diào)用可掛載至對應(yīng)的頁面資源下，實現(xiàn)接口權(quán)限的精準(zhǔn)控制。對數(shù)據(jù)權(quán)限，比如針對不同的用戶、角色，即使都擁有A接口的訪問權(quán)限，但可以通過指定查詢范圍實現(xiàn)數(shù)據(jù)的精準(zhǔn)控制。數(shù)據(jù)權(quán)限不區(qū)分頁面，根據(jù)業(yè)務(wù)需要建立前后端約定好的、可識別的資源。資源詳情可采用易于解析的json格式存儲，以便后期資源定義的擴展，同時也是對“一切皆資源”的有效支撐。資源建立完成后，可以在資源管理頁面清晰看到所創(chuàng)建的資源樹及要進行控制的數(shù)據(jù)權(quán)限資源。接下來根據(jù)權(quán)限管理的業(yè)務(wù)需求，對資源進行組合從而創(chuàng)建適當(dāng)粒度的權(quán)限，更進一步創(chuàng)建角色。

3 結(jié)束語

本文詳情闡述了基于資源樹的權(quán)限控制系統(tǒng)的實現(xiàn)方式，較之于基于角色的控制體系，基于資源樹的權(quán)限控制系統(tǒng)提出“一切皆資源”的理論，并以此為基礎(chǔ)，構(gòu)建權(quán)限控制系統(tǒng)的權(quán)限樹，資源是進行權(quán)限配置的基礎(chǔ)，通過對所有要控制的對象簡歷對應(yīng)的資源模型，并依據(jù)其對應(yīng)的頁面關(guān)系逐一建立資源，可實現(xiàn)精準(zhǔn)的權(quán)限控制。對于抽象的賦權(quán)操作形象化，增加的分層操作也使得權(quán)限控制系統(tǒng)可以有更多的靈活性及可擴展性，極大提升了權(quán)限控制系統(tǒng)的可用范圍。

參考文獻：

[1] 劉強.基于角色的訪問控制技術(shù)[M].廣州：華南理工大學(xué)出版社，2010.

[2] 黃建，卿斯?jié)h，魏丕會.基于角色的訪問控制[J].計算機工程與應(yīng)用，2003，39（28）：64-66，71.

[3] ORACLE.系統(tǒng)管理指南：安全性服務(wù).基于角色的訪問控制[EB/OL].https：//docs.oracle.com/cd/E24847_01/html/819-7061/rbac-1.html#scrolltoc.

[4] 尹剛，王懷民，滕猛.基于角色的訪問控制[J].計算機科學(xué)，2002，29（3）：69-71.

[5] 汪厚祥，李卉.基于角色的訪問控制研究[J].計算機應(yīng)用研究，2005，22（4）：125-127.

【通聯(lián)編輯：代影】