b端产品之权限设计（rbac权限模型）

关键词：

参考技术A 一、前言

随着互联网的快速发展，B端行业也逐渐崛起，很多企业管理中使用的软件我们通常称其为B端管理系统，而在B端系统中“权限管理”是必不可少的功能，不同的系统中权限的应用复杂程度不一样，都是根据实际产品以及需求情况而设置合理的权限。而我们现在对于权限的设置基本上都是建立在RBAC权限模型上的、扩展的，下面我会通过介绍RBAC权限模型的概念以及结合实际业务情况列举权限设置的应用。

二、什么是RBAC权限模型？

RBAC是Role-BasedAccess Control的英文缩写，意思是基于角色的访问控制。RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中，who、what、how构成了访问权限三元组，也就是“Who对What进行How的操作，也就是“主体”对“客体”的操作。其中who是权限的拥有者或主体（例如：User、Role），what是资源或对象（Resource、Class)。

简单的理解其理念就是将“角色”这个概念赋予用户，在系统中用户与权限之间通过角色进行关联，以这样的方法来实现灵活配置。

RBAC其实是一种分析模型，主要分为：基本模型RBAC0、角色分层模型RBAC1、角色限制模型RBAC2和统一模型RBAC3。

RBAC权限模型是基于角色的权限控制。模型中有几个关键的术语：

用户：系统接口及访问的操作者

权限：能够访问某接口或者做某操作的授权资格

角色：具有一类相同操作权限的用户的总称

1）RBAC0

RBAC0是RBAC权限模型的核心思想，RBAC1、RBAC2、RBAC3都是在RBAC0上进行扩展的。RBAC0是由四部分构成：用户、角色、会话、许可。用户和角色的含义很简单，通过字面意思即可明白，会话：指用户被赋予角色的过程，称之为会话或者是说激活角色；许可： 就是角色拥有的权限（操作和和被控制的对象），简单的说就是用户可使用的功能或者可查看的数据。

用户与角色是多对多的关系，用户与会话是一对一的关系，会话与角色是一对多的关系，角色与许可是多对多的关系。

2）RBAC1

RBAC1是在RBAC0权限模型的基础上，在角色中加入了继承的概念，添加了继承发的概念后，角色就有了上下级或者等级关系。

举例：集团权责清单下包含的角色有：系统管理员、总部权责管理员、区域权责管理员、普通用户，当管理方式向下兼容时，就可以采用RBAC1的继承关系来实现权限的设置。上层角色拥有下层的所有角色的权限，且上层角色可拥有额外的权限

3）RBAC2

RBAC2是在RBAC0权限模型的基础上，在用户和角色以及会话和角色之间分别加入了约束的概念（职责分离），职责分离指的是同一个人不能拥有两种特定的权限（例如财务部的纳入和支出，或者运动员和裁判员等等）。

用户和角色的约束有以下几种形式:

互斥角色：同一个用户在两个互斥角色中只能选择一个（也会存在一个用户拥有多个角色情况，但是需要通过切换用户角色来实现对不同业务操作）

基数约束：一个用户拥有的角色是有限的，一个角色拥有的许可也是有限的

先决条件约束：用户想要获得高级角色，首先必须拥有低级角色

会话和角色之间的约束，可以动态的约束用户拥有的角色，例如一个用户可以拥有两个角色，但是运行时只能激活一个角色。

例如：iconfont和蓝湖的用户与角色就采用了约束的概念，超级管理员只允许只有一个

4）RBAC3

RBAC3是RBAC1与RBAC2的合集，所以RBAC3包含继承和约束。

二、为什么要引用RBAC权限模型？

RBAC中具有角色的概念，如果没有角色这个概念，那么在系统中，每个用户都需要单独设置权限，而系统中所涉及到的功能权限和数据权限都非常多，每个用户都单独设置权限对于维护权限的管理员来说无疑是一件繁琐且工作量巨大的任务。

而引入角色这个概念后，我们只需要给系统设置不同的角色， 给角色赋予权限，再将用户与角色关联，这样用户所关联的角色就直接拥有了该角色下的所有权限。

例如：用户1~用户8分别拥有以下权限，，不同用户具有相同权限的我用不同的颜色做了区分，如下图：

在没有引入RBAC权限模型的情况下，用户与权限的关系图可采用下图的杨叔叔展示，每个用户分别设置对应的权限，即便是具有相同权限的用户也需要多次设置权限。

引入RBAC权限模型及引入了角色的概念，根据上面表格的统计，用户1、用户3、用户5、用户8拥有的权限相同，用户2、用户6、用户7拥有相同的权限，用户4是独立的权限，所以我们这里可以根据数据统计，以及实际的需求情况，可以建立三个不同的角色，角色A、角色B、角色C，三个角色分别对应三组用户不同的权限，如下图所示：

对应的上面的案例表格我们就可以调整为含有角色列的数据表，这样便可以清楚的知道每个用户所对应的角色及权限。

通过引用RBAC权限模型后，对于系统中大量的用户的权限设置可以更好的建立管理，角色的引入让具有相同权限的用户可以统一关联到相同的的角色中，这样只需要在系统中设置一次角色的权限，后续的用户便可以直接关联这些角色，这样就省去了重复设置权限的过程，对于大型平台的应用上，用户的数量成千上万，这样就可避免在设置权限这项工作上浪费大量的时间。

三、引入用户组的概念

我们依旧拿上面表格案例举例，虽然前面我们应用的RBAC权限模型的概念，但是对于大量用户拥有相同权限的用户，我们同样的也需要对每个用户设置对应的角色，如果一个部门上万人，那么我们就需要给这个部门上万人分别设置角色，而这上万其实是具有相同的权限的，如果直接采用基础的RBAC权限模型的话，那么面对这样的情况，无疑也是具有一个庞大的重复的工作量，并且也不利于后期用户变更的维护管理，那么针对相同用户具有相同的权限的情况，我们便可以引入用户组的概念。

什么是用户组呢？ 用户组：把具有相同角色的用户进行分类。

上面我们的数据表格案例中的用户1、用户3、用户5、用户8具有相同的角色A，用户2、用户6、用户7也拥有相同的角色B，那么我们就可以将这些具有相同角色的用户建立用户组的关系，拿上面的案例，我们分别对相同角色的用户建立组关系，如下：

用户1、用户3、用户5、用户8→建立用户组1

用户2、用户6、用户7→建立用户组2

因为用户4只有一个用户，所以直接还是单独建立用户与角色的关系，不需要建立用户组，当然尽管只有一个用户也是可以建立用户组的关系，这样有利于后期其他用户与用于4具有相同的角色时，就可以直接将其他用户添加到这个用户组下即可，根据业务的实际情况而选择适合的方案即可。

通过案例表格的变化我们就可以直观的看出权限设置变得清晰简洁了，通过第用户组赋予角色，可以减少大量的重复的工作，我们常见的企业组织、部门下经常会出现不同用户具有相同角色的情况，所以采用用户组的方式，便可以很好的解决这个问题，给具有相同权限的用户建立用户组，将用户组关联到对应的角色下，此用户组就拥有了此角色下的所有权限，而用户是属于用户组的，所以用户组下的所有用户也就同样的拥有了此角色下的所有权限。一个用户可以属于多个用户组，一个用户组也可以包括多个用户，所以用户与用户组是多对多的关系。

四、引入权限组的概念

权限组与用户组的原理差不多，是将一些相对固定的功能或者权限建立组的关系，然后再给此权限组赋予角色，目前我所接触的B端项目中使用权限组的概念的比较少，可简单的看一下关系图

四、功能权限和数据权限

B端系统中一般产品的权限由页面、操作和数据构成。页面与操作相互关联，必须拥有页面权限，才能分配该页面下对应的操作权限，数据可被增删改查。所以将权限管理分为 功能权限管理和数据权限管理。

功能权限管理：指的是用户可看到那些模块，能操作那些按钮，因为企业中的用户拥有不同的角色，拥有的职责也是不同的。

数据权限管理：指的是用户可看到哪些模块的哪些数据。

例如：一个系统中包含多个权责清单（清单1、清单2、清单3），系统管理员能对整个系统操作维护。。。。。

完整内容请查看公众号原文链接

原文链接：B端产品之权限设计（RBAC权限模型）

来源公众号《设计小余》

《springsecurity框架专题》-09rbac权限管理模型

...权限管理系统1.什么是RBAC权限管理模型我们在做任何一款产品的时候，或多或少都会涉及到用户和权限的问题。譬如，做企业类软件，不同部门、不同职位的人的权限是不同的；做论坛类产品的时候，版主和访客权限也是不一样... 查看详情

rbac从入门到精通

RBAC权限系统分析、设计与实现SpringSecurity实战干货：RBAC权限控制概念的理解基于角色权限管理：rbac具体代码实现参考RBAC介绍，案例讲解基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展扩展RBAC用户角色权限... 查看详情

后端产品的权限系统设计(代码片段)

后端产品的权限系统设计前言随着互联网的快速发展，B端行业也逐渐崛起，很多企业管理中使用的软件我们通常称其为B端管理系统，而在B端系统中“权限管理”是必不可少的功能，不同的系统中权限的应用复杂... 查看详情

后端产品的权限系统设计(代码片段)

后端产品的权限系统设计前言随着互联网的快速发展，B端行业也逐渐崛起，很多企业管理中使用的软件我们通常称其为B端管理系统，而在B端系统中“权限管理”是必不可少的功能，不同的系统中权限的应用复杂... 查看详情

权限管理之rbac模型

...型。RBAC的核心分为：用户、角色、权限这三个模块，在产品中的实际流程如下图所示：下面我们将结合以下问题来一起深入了解下RBAC模型如上图所示，在创建角色时，我们会给这个角色分配相应的权限，这里的权限是有前提的... 查看详情

权限设计系统——rbac

权限设计系统——RBAC​权限系统是针对与用户设计，不同的用户进入拥有不同的身份，而不同的身份则会导致他们能够使用到系统中的功能出现不同。这些功能即需要前端展示时的控制，也需要后端权限的校验。1.RBA... 查看详情

[linux之权限管理⽤户组管理](代码片段)

[Linux之权限管理⽤户组管理]权限管理用户组管理RBAC权限管理RBAC（Role-BasedAccessControl，基于角色的访问控制），就是用户通过角色与权限进行关联。简单地说，一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成... 查看详情

熟悉这四种权限管理模型，产品迭代才能心里有数

参考技术A从本质来说，无论何种类型的权限管理模型都可以抽象出三个基本的要素——即：用户（user）、系统/应用（system/application）、策略（policy）。策略决定了用户和不同功能应用之间如何交互。反过来，也就是说，无论设... 查看详情

rbac模型设计

...什么是RBAC模型RBAC（Role-BasedAccessControl）即：基于角色的权限控制。通过角色关联用户，角色关联权限的方式间接赋予用户权限。二、RBAC模型的分类RBAC模型可以分为：RBAC0、RBAC1、RBAC2、RBAC3四种。1、RBAC0模型最简单的用户、角色... 查看详情

项目后台管理之权限管理(rbac)

首先给没有做过权限的小伙伴普及一下，权限管理主要思想就是采用RBAC(Role-BasedAccessControl)的设计方法。在我们的项目中使用的是基本的5张表设计方法，包括（用户表，用户角色关系表，角色表，角色权限关系表，权限表），当... 查看详情

laravel设计rbac权限管理出api接口

...展示添加菜单添加关联添加菜单角色表关联添加代码模型权限-关联添加-角色权限表关联添加-菜单权限表角色表模型展示添加权限表模型展示添加管理员表添加关联添加-用户角色表关联添加-管理员操作表知识点参考页面 查看详情

rbac用户角色权限设计方案转载

...ccessControl，基于角色的访问控制），就是用户通过角色与权限进行关联。简单地说，一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成“用户-角色-权限”的授权模型。在这种模型中，用户与角色之间，... 查看详情

rbac用户权限管理数据库设计

http://minjiechenjava.iteye.com/blog/1759482RBAC用户权限管理数据库设计 博客分类： RBAC权限设计 RBAC RBAC（Role-BasedAccessControl，基于角色的访问控制），就是用户通过角色与权限进行关联。简单地说，一个用户拥有若干角色，每... 查看详情

用户管理系统-用户权限设计(rbac模型）

...就可以编辑，无则不能编辑。再例如：不同等级的会员在产品中可使用的功能范围不同。缺点：当主体的数量较多时，配置和维护工作就会成本大、易出错。DiscretionaryAccessControl，DAC是ACL的一种拓展。原理：在ACL模型的基础上，... 查看详情

用户权限管理数据库设计（rbac）

...ccessControl，基于角色的访问控制），就是用户通过角色与权限进行关联。简单地说，一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成“用户-角色-权限”的授权模型。在这种模型中，用户与角色之间，角色与... 查看详情

你知道权限管理的rbac模型吗？

权限在日常办公系统中算是一个比较常见的基本功能，对于存在有权限模块的系统中规定了登录用户能够操作哪些资源，不能够操作哪些资源。借助权限模块可以有效的控制参与到系统不同身份人员要具体做的操作，可以说一个... 查看详情

你知道权限管理的rbac模型吗？

权限在日常办公系统中算是一个比较常见的基本功能，对于存在有权限模块的系统中规定了登录用户能够操作哪些资源，不能够操作哪些资源。借助权限模块可以有效的控制参与到系统不同身份人员要具体做的操作，可以说一个... 查看详情

权限系统与rbac模型概述[绝对经典]

0.前言一年前，我负责的一个项目中需要权限管理。当时凭着自己的逻辑设计出了一套权限管理模型，基本原理与RBAC非常相似，只是过于简陋。当时google了一些权限管理的资料，从中了解到早就有了RBAC这个东西。可惜一直没狠... 查看详情