it系款统的权限管理设计思想和实现.pptxVIP

IT系统的权限管理 大道至简，衍化至繁 冰之雪剑 bzxj100@ 原理篇 目录 实现篇 展望篇 权限本质 Who How + What  主体 客体 允许和禁止  固有规则 流程规则 风险合规 临时规则 ？ 最流行的标准 RBAC users roles objects operations permissions 引入角色间的继承关系 添加了责任 分离关系 包含了RBAC 1和RBAC 2 RBAC 0 角色 操作  用户角色分配 UA 角色许可分配 PA 用户 会话 对象 许可  权限管理的繁和简 用户 权限  用户组 角色 可选 可选 可选 可选 提示： 在系统引入权限管理时，规划自己的 业务非常重要； 鱼和熊掌的问题 控制能力 易用性 设计的弹性 主体 固定 数据 数据 数据 数据 API API API 可变 管理功能 授权 配置(批量，限制) 需要解决的问题 ？ ？ ？ 鉴权请求 鉴权结果 统一权限服务？ APP1 APP2 APP n ………… 统一权限服务 鉴权接口 鉴权请求 鉴权请求 鉴权结果 鉴权结果 基于中间件云 基于缓存云 数据对象读取接口 EAI 申请授权(by portal) 可选 原理篇 目录 实现篇 展望篇 权限和业务的分离 权限 业务 数据 API 鉴权 map 资源 录入或导入 第三方服务 API 用户与用户组 用户组 用户 动态组 静态组 动态组 1. 需要定期静态化； 2. 不能嵌套； 角色 四个有争议的特征，我们的选择 包含多种维度的数据控制； 不能嵌套； 用户具有多角色时，数据控制会叠加； 支持用户对象具有的属性，作为动态参数； 三个待考虑的特征 角色优先级； 角色顺序属性； 角色的多重分类； 功能数据 批量授权：模板化 单页授权 鉴权的使用 通用逻辑(针对粗粒度权限) Step 1 开发 Step 2 规范 Step 3 维护 完成业务本身功能，不考虑或延后考虑权限相关内容 在粗粒度的资源产生的事件或逻辑中，嵌入按类别处理的代码逻辑(设计人员制定规则) 管理或者业务人员，可以再实施或运行阶段按需录入资源信息和相关授权 鉴权的使用 细粒度权限 本质是对数据的CRUD时，附加where约束，可通过API获取，转换并进行直接或参数化拼接 实际使用可能涉及子查询，存储过程等，这个需要改写存储过程，或者在子查询SQL中预留适合位置 查询时，最佳方法是初始化时先进行了数据控制，然后直接查，这个可以使用通用逻辑，无须编码 实现的总结 非严格意义的RBAC标准的实现 考虑易用性和控制粒度的平衡 严格界定权限管理的职责范围 原理篇 目录 实现篇 展望篇 展望 对接合规管理 对接规则引擎 服务化和维护支持 岗位权限和自动授权 如果对内容有任何意见，欢迎和我探讨 bzxj100@