-------------------------------------------- 總大綱 ---------------------------------

Ralasafe開源有段時間了，大約有2個月了。根據(jù)社區(qū)的反饋，我打算圍繞Ralasafe最佳實(shí)踐，書寫一系列BLOG。

 

大體內(nèi)容有：

1， 登錄控制： 哪些頁面需要登錄后才能訪問，登錄用戶名、密碼驗(yàn)證，登錄轉(zhuǎn)向頁面；

2， URL權(quán)限控制：哪些頁面訪問需要進(jìn)行角色權(quán)限驗(yàn)證，怎樣驗(yàn)證最簡單有效，如何處理驗(yàn)證失敗情況；

3， 數(shù)據(jù)級權(quán)限管理方案探討：選擇中間件呢還是框架？

4， Ralasafe體系結(jié)構(gòu)： 用戶怎么讀取，用戶有哪些字段，怎樣與應(yīng)用基礎(chǔ)；

5， 數(shù)據(jù)級查詢權(quán)限管理： 如何給不同的人分配不同的查詢數(shù)據(jù)權(quán)限，返回where條件呢，還是直接返回結(jié)果集？

6， 數(shù)據(jù)級決策權(quán)限管理： 如何給不同的人分配不同的數(shù)據(jù)操作權(quán)限，當(dāng)用戶不具備權(quán)限怎么辦？

7， 其他細(xì)小的權(quán)限控制： 如下拉框顯示內(nèi)容；按鈕、鏈接是否顯示，圖片是否顯示等。

-------------------------------------------- ------- --------------------------------

 

 

數(shù)據(jù)級權(quán)限管理需求

數(shù)據(jù)級權(quán)限管理需求主要有：

1，支持不同用戶查詢到數(shù)據(jù)是不同的；

2，支持?jǐn)?shù)據(jù)庫行級、列級查詢；

3，支持分頁查詢——包括2個方面：a，分頁查出數(shù)據(jù)；b，能告知總數(shù)據(jù)條數(shù)是多少；

4，支持自定義條件（比如：張三在自己的查詢權(quán)限范圍內(nèi)，查詢50w以上的訂單）。

理論分析

能夠?qū)?shù)據(jù)級權(quán)限，與業(yè)務(wù)分離出來——是多年來開發(fā)人員追求的目標(biāo)。一旦遇到疑難雜癥，馬上會讓人聯(lián)想到高難度的API編程，或者絢麗的XML配置。

 

不過，我今天的分析，會極其簡單。不過我強(qiáng)烈建議大家看下去。如果對該方案有所懷疑，請使用你的應(yīng)用案例進(jìn)行試驗(yàn)。我當(dāng)時不敢確認(rèn)的時候，就是這么做的。

（當(dāng)初，我提出該方案的時候，我們團(tuán)隊(duì)認(rèn)為該方案過于簡單，不可行。我堅(jiān)持讓他們實(shí)現(xiàn)該方案。等產(chǎn)品做出來后，他們略有所悟，認(rèn)為該方案可行。當(dāng)，我讓他們做demo的時候，將該方案運(yùn)用于案例的時候，他們拍腿叫道：超級太棒了！我希望你也有該感受）

 

分類思想的提出

首先，我們思考這個問題：為什么我們在程序里面使用了if/else？為什么數(shù)據(jù)級權(quán)限難以處理？

原因就是：1，有很多種情況；2，我們需要針對不同的人、不同的情況做不同的權(quán)限邏輯。比如：

 

在RBAC模型里面有用戶群組概念，也有不少開發(fā)人員將用戶群組引入數(shù)據(jù)級權(quán)限管理領(lǐng)域。群組很好的將用戶歸組，但不足之處是要事先將用戶歸入組內(nèi)。比如，在將張三指定到“總公司用戶組”之前，他不屬于該用戶組，即便張三的機(jī)構(gòu)屬性顯示他屬于總公司。

我們對群組進(jìn)行稍微改造：使用規(guī)則來定義群組，滿足該規(guī)則的用戶，我們則認(rèn)為該用戶屬于該群組。傳統(tǒng)編程里面的if/else判斷條件，基本都可以使用規(guī)則或者規(guī)則表達(dá)式組來描述。此時，張三的機(jī)構(gòu)屬性顯示是總公司，那么他就屬于總公司用戶組；如果他的機(jī)構(gòu)屬性是某個分公司，那么他就屬于分公司用戶組了。無需進(jìn)行額外操作（指定、重新指派等，一切都是動態(tài)智能的）。

 

OK，至此，我們提出了使用規(guī)則描述的“用戶分類”。該規(guī)則應(yīng)該能讀取用戶信息、上下文信息、數(shù)據(jù)查詢等，并進(jìn)行相關(guān)運(yùn)算（比較、集合運(yùn)算等）

 

至此，我們可以基于用戶要分類，為每個用戶分類分配一個查詢。（該查詢可以接受相關(guān)參數(shù)，比如用戶參數(shù)、上下文參數(shù)等）

那么上述例子，使用分類思想，可以這么解決：

用戶分類：總公司用戶類 —— 查詢：查詢所有訂單

用戶分類：分公司用戶類 —— 查詢：查詢本分公司及下屬子公司訂單；

用戶分類：子公司用戶類 —— 查詢：查詢本子公司訂單。

與功能權(quán)限結(jié)合

我認(rèn)為功能權(quán)限與數(shù)據(jù)權(quán)限分開非常合適。功能權(quán)限由企業(yè)IT管理員維護(hù)；數(shù)據(jù)權(quán)限由軟件開發(fā)商維護(hù)。有人會說這樣不好，比如這個案例怎么處理：

普通審查員可以審查50w財(cái)務(wù)數(shù)據(jù)；中級審查員審查50w～500w的財(cái)務(wù)數(shù)據(jù)。這個50w、500w，企業(yè)需要自行維護(hù)。

 

OK，我認(rèn)為這50w、500w應(yīng)該稱為“權(quán)限策略數(shù)據(jù)”，可以保存到數(shù)據(jù)庫里面，做為基礎(chǔ)數(shù)據(jù)或者數(shù)據(jù)字典由企業(yè)通過界面自行維護(hù)。而軟件開發(fā)商，開發(fā)的“數(shù)據(jù)級權(quán)限”策略讀取這些數(shù)據(jù)。（當(dāng)然，你可以緩存。。。。）

Ralasafe方案

怎樣實(shí)現(xiàn)數(shù)據(jù)級查詢權(quán)限

為了理解本節(jié)內(nèi)容，建議下載ralasafe demo應(yīng)用，對照圖形界面，更容易理解些。

Ralasafe使用管理界面來定制用戶分類、定制數(shù)據(jù)查詢。為了確保定制無誤，Ralasafe支持在線測試。比如定制用戶分類后，可以選擇一個用戶進(jìn)行測試。數(shù)據(jù)查詢等都是可以在線測試的。

 

定制完畢后，將用戶分類和數(shù)據(jù)查詢配對，賦給特點(diǎn)權(quán)限。一個權(quán)限，可以賦多個（用戶分類——數(shù)據(jù)查詢）配對。和前面的理論分析一樣。

 

具體定制，怎樣配對，可以參考文檔，配有圖片，在此不做多說。定制用戶分類，定制數(shù)據(jù)查詢，給權(quán)限授權(quán)策略（即配對）。

怎樣與應(yīng)用結(jié)合

Ralasafe提供org.ralasafe.Ralasafe和org.ralasafe.WebRalasafe兩個接口類。里面的query方法對應(yīng)數(shù)據(jù)級查詢權(quán)限。在應(yīng)用系統(tǒng)相應(yīng)的地方，調(diào)用該方法即可。我建議在系統(tǒng)的控制層調(diào)用，即：servlet或者action。

 

ralasafe demo例子，EmployeServlet就是這么調(diào)用的：（demo演示員工查詢，不是訂單查詢）

 

OK，就這么簡單。需要編程的工作量非常非常少，達(dá)到了極致。世界從此清凈了。

 

（WebRalasafe.query方法接受req<HttpRequest>參數(shù)，從這里讀取User。Ralasafe.query方法則直接傳入U(xiǎn)ser，可供非web類應(yīng)用調(diào)用） 

系統(tǒng)結(jié)構(gòu)

Ralasafe由權(quán)限引擎和管理界面組成。權(quán)限引擎解析權(quán)限策略；管理界面生成、維護(hù)權(quán)限策略。如圖示：

 

 

注：ralasafe團(tuán)隊(duì)博客在javaeye/baidu/blogjava等空間，同步發(fā)布。ralasafe官方網(wǎng)站：http://www.ralasafe.org/zh

 

 

 

-------------------------------------------- 總大綱 ---------------------------------
Ralasafe開源有段時間了，大約有2個月了。根據(jù)社區(qū)的反饋，我打算圍繞Ralasafe最佳實(shí)踐，書寫一系列BLOG。

大體內(nèi)容有：
1， 登錄控制： 哪些頁面需要登錄后才能訪問，登錄用戶名、密碼驗(yàn)證，登錄轉(zhuǎn)向頁面；
2， URL權(quán)限控制：哪些頁面訪問需要進(jìn)行角色權(quán)限驗(yàn)證，怎樣驗(yàn)證最簡單有效，如何處理驗(yàn)證失敗情況；
3， 數(shù)據(jù)級權(quán)限管理方案探討：選擇中間件呢還是框架？
4， Ralasafe體系結(jié)構(gòu)： 用戶怎么讀取，用戶有哪些字段，怎樣與應(yīng)用基礎(chǔ)；
5， 數(shù)據(jù)級查詢權(quán)限管理： 如何給不同的人分配不同的查詢數(shù)據(jù)權(quán)限，返回where條件呢，還是直接返回結(jié)果集？
6， 數(shù)據(jù)級決策權(quán)限管理： 如何給不同的人分配不同的數(shù)據(jù)操作權(quán)限，當(dāng)用戶不具備權(quán)限怎么辦？
7， 其他細(xì)小的權(quán)限控制： 如下拉框顯示內(nèi)容；按鈕、鏈接是否顯示，圖片是否顯示等。
-------------------------------------------- ------- --------------------------------

今天說的URL權(quán)限控制，內(nèi)容主要有：URL權(quán)限控制，當(dāng)用戶訪問某URL時，進(jìn)行角色權(quán)限驗(yàn)證。如果有相應(yīng)權(quán)限，則允許其正常訪問；否則，轉(zhuǎn)到拒絕頁面。
我們依然通過一個Filter來實(shí)現(xiàn)，這樣就無需在代碼中增加權(quán)限判斷，也無需套用任何框架。對于整個權(quán)限管理系統(tǒng)來說，本節(jié)內(nèi)容也非常簡單。

理論分析

當(dāng)軟件實(shí)施人員進(jìn)行系統(tǒng)實(shí)施的時候，會將一些訪問菜單定義為權(quán)限。然后定義角色，讓角色擁有權(quán)限。然后再將權(quán)限賦給用戶。
所以，當(dāng)用戶請求某個URL的時候，要不該URL需要權(quán)限驗(yàn)證，要不就是不需要權(quán)限驗(yàn)證。
檢驗(yàn)標(biāo)準(zhǔn)就是：看權(quán)限表里面有沒有該URL。檢驗(yàn)的時候，唯一需要注意的是：URL參數(shù)，比如employeeManage?op=add。

數(shù)據(jù)庫模型

權(quán)限表：id<int>,name<varchar>,url<varchar>,description<varchar>   | pk(id)
角色表：id<int>,name<varchar>,description<varchar>                        | pk(id)
角色-權(quán)限關(guān)系表：roleId<int>,privilegeId<int>                                       | pk(roleId,privilegeId)
用戶-角色關(guān)系表：userId<int>(根據(jù)你系統(tǒng)的情況，也可能是varchar等),roleId<int> | pk(userId,roleId)

Ralasafe方案

Ralasafe權(quán)限管理中間件(下載地址)，既可以管理和控制功能級權(quán)限，也可以管理和控制數(shù)據(jù)級權(quán)限。開發(fā)者還可以根據(jù)需求，只選擇功能級控制，或者只選擇數(shù)據(jù)級控制。

當(dāng)安裝好用戶元數(shù)據(jù)的時候，Ralasafe自動創(chuàng)建所有權(quán)限表。相關(guān)權(quán)限數(shù)據(jù)，都由Ralasafe界面進(jìn)行管理（即錄入）。

Ralasafe的管理界面，在功能權(quán)限方面可以做到：
1，管理權(quán)限界面；
2，管理角色界面，并給角色賦權(quán)限；
3，給用戶分配角色界面。這里還需要注意：不同用戶管理可以給不同范圍的用戶分配角色。比如：總公司的管理員可以給所有人分配角色；分公司管理員可以給本分公司及下屬子公司用戶分配角色。

Ralasafe將最后一點(diǎn)視為數(shù)據(jù)級權(quán)限。詳見：http://www.ralasafe.org/zh/guide/reference/safe.html#ralasafe 和http://www.ralasafe.org/jforum/posts/list/11.page


將org.ralasafe.webFilter.UrlAclFilter配置到web.xml即可，而且配置工作量極其少。

 
該Filter具有這些功能：
1，在用戶具有權(quán)限的時候，正常訪問；
2，在用戶不具有權(quán)限的時候，轉(zhuǎn)到拒絕頁面；
3，如果用戶沒用登錄，轉(zhuǎn)到登錄頁面，讓用戶先登錄。

其他

這里我簡單說說spring security。
spring security在控制功能權(quán)限的時候，還會幫助開發(fā)人員控制Dao/Service等組件。我個人認(rèn)為這種控制是多余的。
因?yàn)椋δ軝?quán)限控制應(yīng)該站在最終用戶角度進(jìn)行考慮。Dao/Service等編程開發(fā)級的組件，并不是最終用戶關(guān)心的事情。所以無需進(jìn)行功能權(quán)限控制。
另外，大家在使用spring security，我建議將功能級權(quán)限控制放在數(shù)據(jù)庫里面，而不是annotation到j(luò)ava code里面。因?yàn)閍nnotation到j(luò)ava code里面，最終用戶就不能控制了。

注：ralasafe團(tuán)隊(duì)博客在javaeye/baidu/blogjava等空間，同步發(fā)布。ralasafe官方網(wǎng)站：http://www.ralasafe.org/zh


原文：http://www.ralasafe.org/jforum/posts/list/66.page
Ralasafe自從2010年6月23日開源以來，得到廣大網(wǎng)友的支持和鼓勵，在此非常感謝。Ralasafe團(tuán)隊(duì)也通過網(wǎng)站、論壇、博客、Email、QQ等各種方式與社區(qū)互動，形成交流。根據(jù)這段時間的社區(qū)維護(hù)情況，我們制定如下社區(qū)維護(hù)原則。

我們歡迎這樣的人，樂于回答他們的問題：
1，說話友好，平等切磋的人；
2，勤于學(xué)習(xí)，而不論技術(shù)高低，不論新手老手。即便你是新手，但只要你肯予學(xué)習(xí)，不斷交流，我們樂于提供幫助；
3，帶有個人偏見，但言之有物的人。

我們不歡迎這樣的人，也不想回答他們的問題：
1，出言不遜，帶有蔑視或者侮辱性語言的人；
2，懶惰的人，尤其是沒有看文檔，沒有對Ralasafe-demo進(jìn)行揣摩，沒有進(jìn)行基本學(xué)習(xí)的人；（文檔沒有看懂的人例外，確實(shí)我們可能撰寫方式有問題，個人理解力有差距等）
3，帶有個人偏見，且言之無物的人。

Ralasafe團(tuán)隊(duì)將繼續(xù)保持開源，并致力于社區(qū)維護(hù)工作。對于新手，只要樂于學(xué)習(xí)，我們甚至?xí)W(xué)習(xí)難點(diǎn)，免費(fèi)提供QQ遠(yuǎn)程協(xié)助。      摘要: Ralasafe是基于MIT協(xié)議開源的，數(shù)據(jù)級權(quán)限管理中間件。開源有2個月了。根據(jù)社區(qū)的反饋，我圍繞Ralasafe最佳實(shí)踐，書寫一系列BLOG。今天說的登錄控制，內(nèi)容主要有：哪些頁面需要登錄控制、登錄驗(yàn)證邏輯、登錄后頁面轉(zhuǎn)向哪里，以及權(quán)限菜單等問題。雖然本系列講解權(quán)限管理，尤其是數(shù)據(jù)級權(quán)限管理。但嚴(yán)格意義來說，登錄控制，并不屬于權(quán)限管理內(nèi)容。它屬于用戶身份認(rèn)證內(nèi)容。權(quán)限基本都與用戶相關(guān)，用戶首先就涉及到用戶名密碼驗(yàn)證。所以我們從這里開始說起。  閱讀全文      摘要: 很多系統(tǒng)對于黑客不堪一擊。請看這樣的示例：
1. 前臺展現(xiàn)客戶能查看的客戶數(shù)據(jù)，而且用戶能刪除的客戶數(shù)據(jù)，就是前臺展現(xiàn)出來的數(shù)據(jù)；
2. 當(dāng)用戶選擇某個用戶，點(diǎn)擊刪除按鈕，后臺執(zhí)行刪除操作。
比如，請求后臺刪除的url是：http://www.test.com/crm/customer.do?id=3
假設(shè)，id=13的客戶在前臺不顯示（因?yàn)楫?dāng)前用戶沒有對該客戶數(shù)據(jù)有刪除權(quán)限），但用戶輸入http://www.test.com/crm/customer.do?id=13 顯然id=13的客戶將被刪除掉。

有開發(fā)者建議采用id值不要使用自增長型，而改用其他型，比如hashcode等。這也不大合適，可以使用爬蟲輕松地將漏洞爬出來。

顯然，僅僅通過界面層次控制數(shù)據(jù)級權(quán)限是不夠的。  閱讀全文 今天是夏至，白天是一年中最長的。好好努力。此文激烈自己和同樣在努力的朋友們。      摘要: 上一章講解通過設(shè)計(jì)器，設(shè)計(jì)出數(shù)據(jù)查詢，并在線測試。本章講解如何快速定制數(shù)據(jù)查詢，如果將業(yè)務(wù)代碼中的if else邏輯判斷去掉，如何將這種細(xì)粒度的權(quán)限集成到業(yè)務(wù)系統(tǒng)。  閱讀全文      摘要: 通過基于角色訪問控制，我們可以控制哪些人具有某種權(quán)限。比如總公司員工柴其貴、分公司員工李朵朵和營業(yè)部員工賈志宏，三個人都具有訪問“查詢員工”頁面權(quán)限。但，由于他們?nèi)怂诠炯墑e不同（總公司、分公司和營業(yè)部），進(jìn)入查詢員工頁面，系統(tǒng)展示出來的員工數(shù)據(jù)應(yīng)該是不同的。
為此，很多系統(tǒng)代碼里面充滿了if else邏輯判斷，造成業(yè)務(wù)與權(quán)限耦合。有更好的辦法去除這種耦合嗎？  閱讀全文      摘要: 本章詳細(xì)講解用戶角色權(quán)限關(guān)系。這也就是RBCA(Role Based Access Control，基于角色的訪問控制)。基于角色控制模型已經(jīng)深入人心，關(guān)系并不復(fù)雜，廣泛運(yùn)用于各個系統(tǒng)。通過給用戶賦予角色、角色擁有權(quán)限的模式，達(dá)到控制用戶具有權(quán)限的目的。同時，還復(fù)用了角色，這樣可以讓多個相同職務(wù)（或職能）的人擁有同樣的角色。RBCA模型怎么建立呢？又有哪些局限性。  閱讀全文      摘要: 通過Filter就可以輕松解決這樣的需求：
某些頁面沒有登錄可以查看；
某些頁面必須登錄才能查看，如果沒有登錄，轉(zhuǎn)移到登錄頁面，成功登錄后再轉(zhuǎn)移回來；
某些頁面必須驗(yàn)證當(dāng)前登錄用戶是否具有請求該頁面的權(quán)限，如果沒有轉(zhuǎn)移到權(quán)限不足提示界面。  閱讀全文      摘要: 第一章 安裝     Metadmin 細(xì)粒度權(quán)限管理產(chǎn)品，將分散在系統(tǒng)各處的權(quán)限判斷代碼，集中起來統(tǒng)一管理；并提供權(quán)限設(shè)計(jì)器，通過界面設(shè)計(jì)，而不是編程或者書寫 XML 配置的方式，達(dá)到各種細(xì)粒度控制目的。   Metadmin 是中間件，不是系統(tǒng)框架。安裝過程非常簡單，可以分為 2 個部...  閱讀全文