IT系统的权限管理设计思想和实现.pptxVIP

IT系统的权限管理设计思想和实现 第1页/共23页 权限本质 Who How + What  主体 客体 第2页/共23页 允许和禁止  固有规则 流程规则 风险合规 临时规则 ？ 第3页/共23页 最流行的标准 RBAC users roles objects operations permissions 引入角色间的继承关系 添加了责任 分离关系 包含了RBAC 1和RBAC 2 第4页/共23页 RBAC 0 角色 操作  用户角色分配 UA 角色许可分配 PA 用户 会话 对象 许可  第5页/共23页 权限管理的繁和简 用户 权限  用户组 角色 可选 可选 可选 可选 提示： 在系统引入权限管理时，规划自己的 业务非常重要； 第6页/共23页 鱼和熊掌的问题 控制能力 易用性 第7页/共23页 设计的弹性 主体 固定 数据 数据 数据 数据 API API API 可变 管理功能 授权 配置(批量，限制) 第8页/共23页 需要解决的问题 ？ ？ ？ 第9页/共23页 鉴权请求 鉴权结果 统一权限服务？ APP1 APP2 APP n ………… 统一权限服务 鉴权接口 鉴权请求 鉴权请求 鉴权结果 鉴权结果 基于中间件云 基于缓存云 数据对象读取接口 EAI 申请授权(by portal) 可选 第10页/共23页 原理篇 目录 实现篇 展望篇 第11页/共23页 权限和业务的分离 权限 业务 数据 API 鉴权 map 资源 录入或导入 第三方服务 API 第12页/共23页 用户与用户组 用户组 用户 动态组 静态组 动态组 1. 需要定期静态化； 2. 不能嵌套； 第13页/共23页 角色 四个有争议的特征，我们的选择 包含多种维度的数据控制； 不能嵌套； 用户具有多角色时，数据控制会叠加； 支持用户对象具有的属性，作为动态参数； 三个待考虑的特征 角色优先级； 角色顺序属性； 角色的多重分类； 第14页/共23页 功能数据 第15页/共23页 批量授权：模板化 单页授权 第16页/共23页 鉴权的使用 通用逻辑(针对粗粒度权限) Step 1 开发 Step 2 规范 Step 3 维护 完成业务本身功能，不考虑或延后考虑权限相关内容 在粗粒度的资源产生的事件或逻辑中，嵌入按类别处理的代码逻辑(设计人员制定规则) 管理或者业务人员，可以再实施或运行阶段按需录入资源信息和相关授权 第17页/共23页 鉴权的使用 细粒度权限 本质是对数据的CRUD时，附加where约束，可通过API获取，转换并进行直接或参数化拼接 实际使用可能涉及子查询，存储过程等，这个需要改写存储过程，或者在子查询SQL中预留适合位置 查询时，最佳方法是初始化时先进行了数据控制，然后直接查，这个可以使用通用逻辑，无须编码 第18页/共23页 实现的总结 非严格意义的RBAC标准的实现 考虑易用性和控制粒度的平衡 严格界定权限管理的职责范围 第19页/共23页 原理篇 目录 实现篇 展望篇 第20页/共23页 展望 对接合规管理 对接规则引擎 服务化和维护支持 岗位权限和自动授权 第21页/共23页 如果对内容有任何意见，欢迎和我探讨 bzxj100@ 第22页/共23页 感谢观看！ 第23页/共23页