美文网首页笔戈 Web Teamweb后端小牛软件之家
基于RESTful API 怎么设计用户权限控制?

基于RESTful API 怎么设计用户权限控制?

作者: JC_Huang | 来源:发表于2015-03-29 21:38 被阅读19348次

    前言

    有人说,每个人都是平等的;
    也有人说,人生来就是不平等的;
    在人类社会中,并没有绝对的公平,
    一件事,并不是所有人都能去做;
    一样物,并不是所有人都能够拥有。
    每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。
    把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。
    有了一个这么有范儿的开头,下面便来谈谈基于RESTful,如何实现不同的人不同的角色对于不同的资源不同的操作的权限控制。

    RESTful简述

    本文是基于RESTful描述的,需要你对这个有初步的了解。
    RESTful是什么?
    Representational State Transfer,简称REST,是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。
    REST比较重要的点是资源状态转换
    所谓"资源",就是网络上的一个实体,或者说是网络上的一个具体信息。它可以是一段文本、一张图片、一首歌曲、一种服务,总之就是一个具体的实在。
    "状态转换",则是把对应的HTTP协议里面,四个表示操作方式的动词分别对应四种基本操作:

    1. GET,用来浏览(browse)资源
    2. POST,用来新建(create)资源
    3. PUT,用来更新(update)资源
    4. DELETE,用来删除(delete)资源。
    RESTful CURD

    资源的分类及操作

    清楚了资源的概念,然后再来对资源进行一下分类,我把资源分为下面三类:

    1. 私人资源 (Personal Source)
    2. 角色资源 (Roles Source)
    3. 公共资源 (Public Source)
    Sources

    "私人资源":是属于某一个用户所有的资源,只有用户本人才能操作,其他用户不能操作。例如用户的个人信息、订单、收货地址等等。
    "角色资源":与私人资源不同,角色资源范畴更大,一个角色可以对应多个人,也就是一群人。如果给某角色分配了权限,那么只有身为该角色的用户才能拥有这些权限。例如系统资源只能够管理员操作,一般用户不能操作。
    "公共资源":所有人无论角色都能够访问并操作的资源。

    而对资源的操作,无非就是分为四种:

    1. 浏览 (browse)
    2. 新增 (create)
    3. 更新 (update)
    4. 删除 (delete)

    角色、用户、权限之间的关系

    角色和用户的概念,自不用多说,大家都懂,但是权限的概念需要提一提。
    "权限",就是资源与操作的一套组合,例如"增加用户"是一种权限,"删除用户"是一种权限,所以对于一种资源所对应的权限有且只有四种。

    Permissions

    角色用户的关系:一个角色对应一群用户,一个用户也可以扮演多个角色,所以它们是多对多的关系。
    角色权限的关系:一个角色拥有一堆权限,一个权限却只能属于一个角色,所以它们是一(角色)对多(权限)的关系
    权限用户的关系:由于一个用户可以扮演多个角色,一个角色拥有多个权限,所以用户与权限是间接的多对多关系。

    Relations

    需要注意两种特别情况:

    1. 私人资源与用户的关系,一种私人资源对应的四种权限只能属于一个用户,所以这种情况下,用户和权限是一(用户)对多(权限)的关系。
    2. 超级管理员的角色,这个角色是神一般的存在,能无视一切阻碍,对所有资源拥有绝对权限,甭管你是私人资源还是角色资源。

    数据库表的设计

    角色、用户、权限的模型应该怎么样设计,才能满足它们之间的关系?

    Models

    对上图的一些关键字段进行说明:

    Source
    • name: 资源的名称,也就是其他模型的名称,例如:user、role等等。
    • identity: 资源的唯一标识,可以像uuid,shortid这些字符串,也可以是model的名称。
    • permissions : 一种资源对应有四种权限,分别对这种资源的browse、create、update、delete
    Permission
    • source : 该权限对应的资源,也就是Source的某一条记录的唯一标识
    • action :对应资源的操作,只能是browse、create、update、delete四个之一
    • relation:用来标记该权限是属于私人的,还是角色的,用于OwnerPolicy检测
    • roles: 拥有该权限的角色
    Role
    • users : 角色所对应的用户群,一个角色可以对应多个用户
    • permissions: 权限列表,一个角色拥有多项权利
    User
    • createBy : 该记录的拥有者,在user标里,一般等于该记录的唯一标识,这一属性用于OwnerPolicy的检测,其他私有资源的模型设计,也需要加上这一字段来标识资源的拥有者。
    • roles : 用户所拥有的角色

    策略/过滤器

    在sails下称为策略(Policy),在java SSH下称为过滤器(Filter),无论名称如何,他们工作原理是大同小异的,主要是在一条HTTP请求访问一个Controller下的action之前进行检测。所以在这一层,我们可以自定义一些策略/过滤器来实现权限控制。
    为行文方便,下面姑且允许我使用策略这一词。

    **策略 (Policy) **

    下面排版顺序对应Policy的运行顺序

    1. SessionAuthPolicy
      检测用户是否已经登录,用户登录是进行下面检测的前提。
    2. SourcePolicy
      检测访问的资源是否存在,主要检测Source表的记录
    3. PermissionPolicy
      检测该用户所属的角色,是否有对所访问资源进行对应操作的权限。
    4. OwnerPolicy
      如果所访问的资源属于私人资源,则检测当前用户是否该资源的拥有者。

    如果通过所有policy的检测,则把请求转发到目标action。

    Policies

    Sails下的权限控制实现

    在Sails下,有一个很方便的套件sails-permissions,集成了一套权限管理的方案,本文也是基于该套件的源码所引出来的权限管理解决方案。

    结语

    对程序员最大的挑战,并不是能否掌握了哪些编程语言,哪些软件框架,而是对业务和需求的理解,然后在此基础上,把要点抽象出来,写成计算机能理解的语言。
    最后,希望这篇文章,能够帮助你对权限管理这一课题增加多一点点理解。

    写作参考


    如果本文对您有用
    请不要吝啬你们的Follow与Start
    这会大大支持我们继续创作

    「Github」
    MZMonster :@MZMonster
    JC_Huang :@JerryC8080

    相关文章

      网友评论

      • liunewshine:角色和权限应该是多对多呀,一个权限可以属于多个角色才对
      • 大力水手SX:"权限",就是资源与操作的一套组合。我觉得权限应该是资源与操作的一套或者多套组合,比如定义一个权限名称叫“管理用户”,那么这个权限应该包括增删查改四个操作了:smile:
      • yang_young: rest不是要求无状态吗?怎么还能用session来查看登录信息呢?按rest的意思是用cookies来携带信息,但那样也太不安全了,毕竟客户端cookies可查可改。这问题上楼主能解释一下吗?
        cec80e22ee7c:token是个好东西
        希崽家的小哲:@Samk_0d84 token
        c454269d329d:rest确实是无状态,同样疑惑这样怎么做权限控制。用cookie来携带信息的话,似乎是相对安全的,在java里jsessionId是无法通过js修改的
      • a2d7b36d630e:这文章也好意思发, 标题党
      • 6bd45c7c021a:命名什么的有点混乱,很难关联起来
      • 6bd45c7c021a:楼主你的数据库设计的不是太清楚,能不能详细说下你的数据库的信息
      • 20224410075a:请教一下,一个资源study 有三个角色(patient,manager,doctor)能够访问,资源是属于patient的,那么patient访问用get /study/studyid,doctor和manager访问URL 如何设计呢,我觉得/patient/study/studyid 是比较合理的,但是manager和doctor如何区分呢?我用的是spring mvc,每一个controller的requestmapping 要和请求的url对应的
      • 20224410075a:看了三遍,很详细,好
      • 学着放下:非常好的文章
      • 计算机从硬件到软件:太棒了,讲了很多细节
      • hsluoyz:资源的英文应该是Resource,而不是Source
      • 1cea708197a7:这种方式根据url资源路径怎么确定该url的权限
      • cnlinjie:私人资源,举个例子:个人信息,是否属于私人资源。还是由权限框架定义,如果权限框架上,定义,你不能修改密码,就是连自己的密码都无法修改,那么这算是私人资源吗?所以意义上,不算被框架管理,且专属于本人的资源才算私人资源。如果被管控的资源,就算在怎么“私人”,实际上也属于“角色资源”,如果理解,对否?
        cnlinjie:@下午荼 Java的 Shiro
        下午荼:@cnlinjie 你好,请问有什么开源的权限框架推荐吗
      • cnlinjie:Good~

      本文标题:基于RESTful API 怎么设计用户权限控制?

      本文链接:https://www.haomeiwen.com/subject/jninxttx.html