背景
权限管理是一个几乎所有大中型 B 端系统都会涉及的重要组成部分,其目的是对整个系统进行权限控制,避免造成误操作及数据泄露等风险问题。
权限与权限管理
名词定义
权限相关的基本概念:
- 权限:用户可操作行为的最小单位。
- 用户:每个用户都有唯一标识,并被授予一个或多个角色。
- 角色:由不同的权限组合而成,最终分配给具体用户。
- 权限管理:控制用户的权限,只能访问授权内容。
模型选择
- ACL(Access Control List):基于用户级别的权限控制。
- 将系统的各种权限直接授予具体的用户。抽象来说,为每个用户维护了单独的权限列表,当需要分配权限、收回权限时,需要修改对应用户的权限信息。
- RBAC(Role Base Access Control):基于角色级别的权限控制。
- 与 ACL 对比,RBAC不用给用户单个分配权限,权限与用户之前通过角色关联。通过给不同的角色分配不同的权限,只需要将用户指向对应的角色就会有对应的权限。分配权限、收回权限只需要通过修改用户的角色即可。
- ABAC(Attribute Base Access Control):基于属性级别的权限控制。
- 不同于常见的将用户通过某种方式直接关联到权限的方式,ABAC 是通过动态计算一个或一组属性来是否满足某种条件来进行权限判断。属性一般分为四类:用户属性(自然人属性,如年龄、性别等),环境属性(物理环境,如时间、地点、气候),操作属性(读、写)和对象属性(操作对象,如资金、某张图片、某个特定的页面,又称资源属性)。
- 因此理论上能够实现灵活的权限控制、将在权限与用户之前通过一组或多组属性实现关联,几乎能满足所有类型的需求。
权限管控
抽象来看权限体系可以分为如下两类:功能权限 与 数据权限 两部分。
- 功能权限指的是在系统中的功能可否使用,通常我们将功能权限分为查看、编辑、删除等,同时编辑、删除权限又包含了查看。通过小的权限点拆分更精细的赋予了员工能否进入某个页面查看信息、编辑信息的能力。
- 数据权限指数据中存在的数据是否能查看,是一个更细粒度的权限。比如一个页面,不同角色查看不同的数据就需要通过数据权限控制。 从管理对象维度又可以分为:企业能力 与 员工能力。
- 企业能力店铺维度的权限,比如开通某服务,可以通过企业能力去体现。
- 企业能力赋予用户的权限,比如收电子发票、资金管理等。
- 企业能力优先级绝对高于员工能力,所有场景的权限判断,店铺能力必须先于员工能力。简单地说,企业能力决定了“企业能做什么”,员工能力决定了“用户能做什么”。