基于RESTful-API-怎么设计用户权限控制

[Lenny-Hu]

原文 http://huang-jerryc.com/2015/03/29/基于RESTful-API-怎么设计用户权限控制/

RESTful简述

本文是基于RESTful描述的，需要你对这个有初步的了解。

RESTful是什么？

Representational State Transfer，简称REST，是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。

REST比较重要的点是资源和状态转换，所谓”资源“，就是网络上的一个实体，或者说是网络上的一个具体信息。它可以是一段文本、一张图片、一首歌曲、一种服务，总之就是一个具体的实在。

而 “状态转换“，则是把对应的HTTP协议里面，四个表示操作方式的动词分别对应四种基本操作：

• GET，用来浏览(browse)资源
• POST，用来新建(create)资源
• PUT，用来更新(update)资源
• DELETE，用来删除(delete)资源

资源的分类及操作

清楚了资源的概念，然后再来对资源进行一下分类，我把资源分为下面三类：

1. 私人资源 (Personal Source)
2. 角色资源 (Roles Source)
3. 公共资源 (Public Source)

• “私人资源”：是属于某一个用户所有的资源，只有用户本人才能操作，其他用户不能操作。例如用户的个人信息、订单、收货地址等等。

• “角色资源”：与私人资源不同，角色资源范畴更大，一个角色可以对应多个人，也就是一群人。如果给某角色分配了权限，那么只有身为该角色的用户才能拥有这些权限。例如系统资源只能够管理员操作，一般用户不能操作。

• “公共资源”：所有人无论角色都能够访问并操作的资源。

而对资源的操作，无非就是分为四种：

1. 浏览 (browse)
2. 新增 (create)
3. 更新 (update)
4. 删除 (delete)

角色、用户、权限之间的关系

角色和用户的概念，自不用多说，大家都懂，但是权限的概念需要提一提。 “权限”，就是资源与操作的一套组合，例如”增加用户”是一种权限，”删除用户”是一种权限，所以对于一种资源所对应的权限有且只有四种。

• 角色与用户的关系：一个角色对应一群用户，一个用户也可以扮演多个角色，所以它们是多对多的关系。
• 角色与权限的关系：一个角色拥有一堆权限，一个权限却只能属于一个角色，所以它们是一(角色)对多(权限)的关系
• 权限与用户的关系：由于一个用户可以扮演多个角色，一个角色拥有多个权限，所以用户与权限是间接的多对多关系。

需要注意两种特别情况：

• 私人资源与用户的关系，一种私人资源对应的四种权限只能属于一个用户，所以这种情况下，用户和权限是一(用户)对多(权限)的关系。
• 超级管理员的角色，这个角色是神一般的存在，能无视一切阻碍，对所有资源拥有绝对权限，甭管你是私人资源还是角色资源。

数据库表的设计

角色、用户、权限的模型应该怎么样设计，才能满足它们之间的关系？

Source

• name: 资源的名称，也就是其他模型的名称，例如：user、role等等。

• identity: 资源的唯一标识，可以像uuid，shortid这些字符串，也可以是model的名称。

• permissions : 一种资源对应有四种权限，分别对这种资源的browse、create、update、delete

Permission

• source : 该权限对应的资源，也就是Source的某一条记录的唯一标识

• action ：对应资源的操作，只能是browse、create、update、delete四个之一

• relation：用来标记该权限是属于私人的，还是角色的，用于OwnerPolicy检测

• roles: 拥有该权限的角色

Role

• users : 角色所对应的用户群，一个角色可以对应多个用户

• permissions: 权限列表，一个角色拥有多项权利

User

• createBy : 该记录的拥有者，在user标里，一般等于该记录的唯一标识，这一属性用于OwnerPolicy的检测，其他私有资源的模型设计，也需要加上这一字段来标识资源的拥有者。

• roles : 用户所拥有的角色

策略/过滤器

在sails下称为策略(Policy)，在java SSH下称为过滤器(Filter)，无论名称如何，他们工作原理是大同小异的，主要是在一条HTTP请求访问一个Controller下的action之前进行检测。所以在这一层，我们可以自定义一些策略/过滤器来实现权限控制。 为行文方便，下面姑且允许我使用策略这一词。

策略 (Policy)

请求按下面的顺序依次检查

1. SessionAuthPolicy： 检测用户是否已经登录，用户登录是进行下面检测的前提。
2. SourcePolicy： 检测访问的资源是否存在，主要检测Source表的记录
3. PermissionPolicy： 检测该用户所属的角色，是否有对所访问资源进行对应操作的权限。
4. OwnerPolicy： 如果所访问的资源属于私人资源，则检测当前用户是否该资源的拥有者。

如果通过所有policy的检测，则把请求转发到目标action。

参考

理解RESTful架构 REST wiki

[Lenny-Hu]

node.js开发之RBAC用户角色权限设计方案

RBAC（Role-Based Access Control，基于角色的访问控制），就是用户通过角色与权限进行关联。简单地说，一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成“用户-角色-权限”的授权模型。在这种模型中，用户与角色之间，角色与权限之间，一般者是多对多的关系。（如下图）

角色是什么？

可以理解为一定数量的权限的集合，权限的载体。例如：一个论坛系统，“超级管理员”、“版主”都是角色。版主可管理版内的帖子、可管理版内的用户等，这些是权限。要给某个用户授予这些权限，不需要直接将权限授予用户，可将“版主”这个角色赋予该用户。

使用用户组授权

当用户的数量非常大时，要给系统每个用户逐一授权（授角色），是件非常烦琐的事情。这时，就需要给用户分组，每个用户组内有多个用户。除了可给用户授权外，还可以给用户组授权。这样一来，用户拥有的所有权限，就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。（下图为用户组、用户与角色三者的关联关系）

用户-角色-权限-资源

在应用系统中，权限表现成什么？对功能模块的操作，对上传文件的删改，菜单的访问，甚至页面上某个按钮、某个图片的可见性控制，都可属于权限的范畴。有些权限设计，会把功能操作作为一类，而把文件、菜单、页面元素等作为另一类，这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时，可把功能操作和资源统一管理，也就是都直接与权限表进行关联，这样可能更具便捷性和易扩展性。（见下图）

请留意权限表中有一列“权限类型”，我们根据它的取值来区分是哪一类权限，如“MENU”表示菜单的访问权限、“OPERATION”表示功能模块的操作权限、“FILE”表示文件的修改权限、“ELEMENT”表示页面元素的可见性控制等。

这样设计的好处有二。其一，不需要区分哪些是权限操作，哪些是资源，（实际上，有时候也不好区分，如菜单，把它理解为资源呢还是功能模块权限呢？）。其二，方便扩展，当系统要对新的东西进行权限控制时，我只需要建立一个新的关联表“权限XX关联表”，并确定这类权限的权限类型字符串。

这里要注意的是，权限表与权限菜单关联表、权限菜单关联表与菜单表都是一对一的关系。（文件、页面权限点、功能操作等同理）。也就是每添加一个菜单，就得同时往这三个表中各插入一条记录。这样，可以不需要权限菜单关联表，让权限表与菜单表直接关联，此时，须在权限表中新增一列用来保存菜单的ID，权限表通过“权限类型”和这个ID来区分是种类型下的哪条记录。

到这里，RBAC权限模型的扩展模型的完整设计图如下：