产品 | 权限设计=功能权限+数据权限

权限设计=功能权限+数据权限

权限管理 Authority Management

目前主要是通过用户、角色、资源三方面来进行权限的分配。
具体来说,就是赋予用户某个角色,角色能访问及操作不同范围的资源。
通过建立角色系统,将用户和资源进行分离,来保证权限分配的实施。

一般指根据系统设置的安全规则或者安全策略,
用户可以访问而且只能访问自己被授权的资源。


场景举例

企业IT管理员一般都能为系统定义角色,给用户分配角色。
这就是最常见的基于角色访问控制。

场景举例:
  1. 给张三赋予“人力资源经理”角色,“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入系统,则可以进行这些操作;
  2. 去掉李四的“人力资源经理”角色,此时李四就不能够进入系统进行这些操作了。

以上举例,局限于功能访问权限。还有一些更加丰富、更加细腻的权限管理。

比如:
  1. 因为张三是北京分公司的“人力资源经理”,所以他能够也只能够管理北京分公司员工和北京分公司下属的子公司(海淀子公司、朝阳子公司、西城子公司、东城子公司等)的员工;
  2. 因为王五是海淀子公司的“人力资源经理”,所以他能够也只能够管理海淀子公司的员工;
  3. 普通审查员审查财务数据的权限是:在零售行业审核最高限额是¥50万,在钢铁行业最高限额是¥1000万;高级审查员不受该限额限制;
  4. ATM取款每次取款额不能超过¥5000元,每天取款总额不能超过¥20000元。

这些权限管理和数据(可以统称为资源)直接相关,
又称为数据级权限管理、细粒度权限管理或者内容权限管理。


分类

从控制力度来看,可以将权限管理分为两大类:
  1. 功能级权限管理;
  2. 数据级权限管理。
从控制方向来看,也可以将权限管理分为两大类:
  1. 从系统获取数据,比如查询订单、查询客户资料;
  2. 向系统提交数据,比如删除订单、修改客户资料。

概念

用户身份认证,是要解决这样的问题:用户告诉系统“我是谁”,系统就问用户凭什么证明你就是“谁”呢?
所以,用户身份认证,根本就不属于权限管理范畴。
  对于采用用户名、密码验证的系统,那么就是出示密码
  ——当用户名和密码匹配,则证明当前用户是谁;
  对于采用指纹等系统,则出示指纹;
  对于硬件Key等刷卡系统,则需要刷卡。
密码加密,是隶属用户身份认证领域,不属于权限管理范畴。

系统管理,一般是系统的一个模块。
而且该模块一般还含有权限管理子模块。
因此,很多人误认为权限管理系统只是系统的一个小小的子模块。

系统管理里面的权限管理模块,只是一个操作界面,让企业IT管理员能够设置角色等安全策略。
系统背后还有很多权限验证逻辑,这些都并不属于该模块。
总体来说,该模块相当于给权限管理模块提供了一些数据,比如:张三是人力资源经理等。
更多混淆概念,请参考:《对权限管理认识的一些误区》。


技术实现

按照权限管理的力度,逐步介绍权限管理实现技术。

功能权限管理技术实现

功能权限管理技术,一般就使用基于角色访问控制技术RBAC(Role Based Access Control)。该技术被广泛运用于各个系统,非常容易掌握。该技术模型如下图示:


权限验证
功能级的权限验证逻辑非常简单:查看该当前登录用户的角色是否包含该功能的权限。
如果有,则表示有权访问,否则表示无权访问。
对于WEB系统,一般定义一个Filter就可以完成权限验证,无需在各个程序入口进行权限判断。

程序伪代码如下:
// 获取访问功能
*String url=request.getRequestPath();*
// 进行权限验证
*User user=request.getSession().get("user");*
*boolean permit=PrivilegeManager.permit( user, url );*
*if( permit ) {*
*chain.doFilter( request, response );*
*} else {*
// 可以转到提示界面
}
数据级权限管理技术实现

目前,数据级权限管理领域,一直没有统一的技术。

大体上,软件开发人员采用如下技术:
1. 硬编码,也就是将这种逻辑以if/else等形式与业务代码耦合在一起,这种情况居多;
2. 使用规则引擎,也有一些企业将这种逻辑以规则形式提出来,并使用规则引擎解析规则;
3. 使用第三方专业软件,有开源中间件Ralasafe;
    开源框架Spring Security;
    商业产品Oracle Entitlements Server,
    IBM Tivoli Access Manager,
    UPMS通用用户权限系统等。
  • 硬编码形式弊端是非常显然的。
    耦合性强,难以测试;系统组件复用率低;
    系统后期改动代价非常大,牵一发而动全身。
  • 使用规则引擎可以解决很多问题,学习难度尚可。
    但规则引擎并不是专业用于权限管理的,
    所以对于复杂一些的权限管理,就显得力不从心。
  • Ralasafe和Oracle、IBM的商业产品一样,都是中间件形式,
    对应用系统和应用数据库结构没有要求。
    都有管理界面进行直接操控管理,而且都能在线进行测试。
    • 相比较,Ralasafe还可以控制查询权限(即从系统查询订单、查询客户等),
      Oracle、IBM的商业产品没有这方面功能;
    • 从产品学习难度来看,Ralasafe只要有一些IT经验,就能快速上手;
      Oracle、IBM产品即使是专业人员,也难以掌握。
    • Spring Security是框架,需要对你的应用系统进行改动,你的系统必须在该框架进行设计编写。
      它只是帮助开发人员将权限提取出来了,但数据级权限还需要开发人员开发Voter。
      而且配置工作巨大,难以测试。
    • 虽然上述提到的产品,都是Java产品。
      但Ralasfe和Oracle、IBM的商业产品,以中间件形式,
      可以部署在独立服务器上,使用web service等方式与非Java系统交互。

实施

① 功能级权限控制
这是很多系统都能做到的。
让系统使用者(一企业IT管理员)定义角色,给用户分配角色。
成功实施该步骤,用户能在功能级进行权限管理。
整个过程无需软件开发商参与。

② 部分预定义好的数据级权限
有些复杂一点的系统,提供了一些规则和管理界面,
可以让系统使用者(一般是企业IT管理员)输入规则参数。

比如普通审查员审查财务数据的金额区间,勾选某用户能够查询哪些组织机构的订单数据。

这是给企业提供了部分控制数据级权限的能力。
但该能力还非常弱,仅限于已定义好的策略,不能适应安全策略变化。
而且,企业需求肯定会随着业务发展、时间推移,发生变化。

比如:普通审查员审查区间由原来的单一设置区间,改为按照行业、按照地域来设置不同的区间。
用户查询订单不仅和组织机构有关,还和订单业务领域(体育、食品等)有关。

当这些需求发生的时候,企业还要求助于软件开发商进行修改。

③ 企业完全掌控安全策略
企业完整掌控安全策略,应该包括2个方面内容:
  1. 功能级权限管理完全自我掌控;
  2. 数据级权限管理完全自我掌控。

实现这方面需要,还需要考虑企业的IT能力:
IT能力没有软件开发商强,而且权限管理涉及整个系统安全,关系重大。

因此软件必须是这样的:
  1. 图形化、集中管理的,便于企业管理;
  2. 可在线测试的,定制策略后在不影响业务的情况下,进行测试,确保无误。
    目前,就Ralasafe和Oracle、IBM产品满足要求。

注意问题

不良的权限管理系统,必然留下系统漏洞,给黑客可趁之机。
很多软件可以轻松通过URL侵入、SQL注入等模式,轻松越权获得未授权数据。
甚至对系统数据进行修改、删除,造成巨大损失。

很多系统,尤其是采用硬编码方式的系统,存在权限逻辑与业务代码紧密耦合,
同时又分散在系统各个地方,系统漏洞势必非常多,
而且随着系统不断修改,漏洞逐步增多。

好的系统,应该将权限逻辑集中起来,由专业的安全引擎进行设置、解析。
业务逻辑调用安全引擎,获得权限结果,不再使用非专业模式。

这种转变,如图示:


权限可以怎样设计?

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 198,082评论 5 464
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 83,231评论 2 375
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 145,047评论 0 327
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,977评论 1 268
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,893评论 5 359
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 47,014评论 1 275
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,976评论 3 388
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,605评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,888评论 1 293
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,906评论 2 314
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,732评论 1 328
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,513评论 3 316
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,980评论 3 301
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,132评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,447评论 1 255
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,027评论 2 343
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 41,232评论 2 339

推荐阅读更多精彩内容