當(dāng)代碼寫多了，總有些是經(jīng)驗(yàn)，但經(jīng)驗(yàn)是什么呢？if…else用的次數(shù)比別人多？顯然不是。有些超棒的設(shè)計(jì)可以謂之經(jīng)驗(yàn)！

創(chuàng)新互聯(lián)主營(yíng)溧陽(yáng)網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,app軟件開發(fā),溧陽(yáng)h5重慶小程序開發(fā)公司搭建,溧陽(yáng)網(wǎng)站營(yíng)銷推廣歡迎溧陽(yáng)等地區(qū)企業(yè)咨詢

功能權(quán)限
網(wǎng)絡(luò)上流行的經(jīng)典的權(quán)限設(shè)計(jì)是【主體】- 【領(lǐng)域】 - 【權(quán)限】( who、what、how問題原型 ) 的設(shè)計(jì)思想，其中：

【主體】可以是用戶，可以是角色，也可以是一個(gè)部門

【領(lǐng)域】可以是一個(gè)模塊，可以是一個(gè)頁(yè)面，也可以是頁(yè)面上的按鈕

【權(quán)限】可以是“可見”，可以是“只讀”，也可以是“可用”(如按鈕可以點(diǎn)擊)

為了簡(jiǎn)化程序開發(fā)，在OpenAuth.Core中去掉了權(quán)限的控制，簡(jiǎn)化為【主體】- 【領(lǐng)域】的模式，且【主體】限定為角色。即只能給角色分配模塊和按鈕，不能直接分配給用戶賬號(hào)或部門。且一旦分配即表示該角色擁有操作該模塊（按鈕）的權(quán)限。

大道至簡(jiǎn)，標(biāo)準(zhǔn)的RBAC規(guī)范比這個(gè)還要簡(jiǎn)潔，所以它的生命力才最頑強(qiáng)。在此基礎(chǔ)上，如果進(jìn)行二次開發(fā)，進(jìn)行更詳細(xì)的功能權(quán)限控制，可以按照上面的思想進(jìn)行改造。

數(shù)據(jù)權(quán)限
數(shù)據(jù)權(quán)限是在功能權(quán)限的基礎(chǔ)上面進(jìn)一步的擴(kuò)展，比如可以查看訂單屬于【功能權(quán)限】的范圍，但是可以查看哪些訂單就是【數(shù)據(jù)權(quán)限】的工作了。

這里面的幾個(gè)概念：

【資源】：數(shù)據(jù)權(quán)限的控制對(duì)象，業(yè)務(wù)系統(tǒng)中的各種資源。比如訂單單據(jù)、銷售單等。

【數(shù)據(jù)規(guī)則】：用于數(shù)據(jù)權(quán)限的條件規(guī)則 。

應(yīng)用場(chǎng)景

銷售單，可以由本人查看
銷售單，測(cè)試角色能看到自己的訂單
銷售單，測(cè)試角色能看到自己的訂單，管理員角色可以看到所有訂單
銷售單，測(cè)試角色能看到自己的訂單，管理員角色可以看到所有訂單，賬號(hào)test3可以看到應(yīng)用名稱為"xxx管理系統(tǒng)"的訂單
我們能想到直接的方法，在訪問數(shù)據(jù)的入口加入SQL Where條件來(lái)實(shí)現(xiàn)，以上4種情況對(duì)應(yīng)的sql語(yǔ)句：

 1 where CreateUserID = {loginUser}
 2 where CreateUserID = {loginUser} and {loginRole} in (測(cè)試）
 3 where CreateUserID = ({loginUser} and {loginRole} in (測(cè)試)) or {loginRole} in (管理員)
 4 where CreateUserID = ({loginUser} and {loginRole} in (測(cè)試)) or {loginRole} in (管理員)or ({loginUser}==test3 and 應(yīng)用名稱==XXX管理系統(tǒng))

這些一個(gè)一個(gè)的"條件"，簡(jiǎn)單理解為一個(gè)【數(shù)據(jù)規(guī)則】，通常會(huì)與原來(lái)我們前臺(tái)的業(yè)務(wù)過(guò)濾條件合并再檢索出數(shù)據(jù)。

每一個(gè)角色有不一樣的【數(shù)據(jù)規(guī)則】，那么數(shù)據(jù)權(quán)限設(shè)計(jì)就變成

【資源】 - 【數(shù)據(jù)規(guī)則】

在數(shù)據(jù)庫(kù)記錄中存放為資源ID+規(guī)則的形式，如下：

為了簡(jiǎn)化程序開發(fā)，在開發(fā)過(guò)程中可以做出以下約定：

所有需要進(jìn)行數(shù)據(jù)權(quán)限控制功能的表，在設(shè)計(jì)時(shí)必須包含字段CreateUserId（創(chuàng)建用戶Id)。
【資源】的名稱限定為模塊名稱。如部門管理，用戶管理，那么資源就是對(duì)應(yīng)的部門列表，用戶列表。
如果【資源】沒有設(shè)置數(shù)據(jù)規(guī)則，那么視為該資源允許被任何主體查看。
數(shù)據(jù)規(guī)則中授權(quán)的對(duì)象限定為角色、用戶。即不能設(shè)定為某個(gè)部門所有，如果想實(shí)現(xiàn)類似的功能，通過(guò)角色間接實(shí)現(xiàn)。例如：資源屬于角色“開發(fā)組成員”，“開發(fā)組組長(zhǎng)”。

核心實(shí)現(xiàn)--查詢對(duì)象模式
權(quán)限控制總離不開一些條件的限制，如果沒有完善的查詢機(jī)制，那么在做權(quán)限條件過(guò)濾的時(shí)候你會(huì)覺得很別扭。馬丁在《企業(yè)應(yīng)用架構(gòu)模式》第13章對(duì)象-關(guān)系元數(shù)據(jù)映射模式中提出查詢對(duì)象模式(Query Object Pattern)。該模式核心結(jié)構(gòu)如下：

該結(jié)構(gòu)為【數(shù)據(jù)規(guī)則】的建立提供了理論基礎(chǔ)。在設(shè)計(jì)數(shù)據(jù)權(quán)限的時(shí)候，可以照搬該思想。上面例子中的規(guī)則，數(shù)據(jù)規(guī)則展開如下：

 1 {
 2  "Operation": "or",
 3  "Filters": [{
 4      "Key": "{loginRole}",
 5      "Value": "09ee2ffa-7463-4938-ae0b-1cb4e80c7c13",
 6      "Contrast": "contains",
 7      "Text": "管理員"
 8  }],
 9  "Children": [{
 10         "Operation": "and",
 11         "Filters": [{
 12             "Key": "{loginRole}",
 13             "Value": "0a7ebd0c-78d6-4fbc-8fbe-6fc25c3a932d",
 14             "Contrast": "contains",
 15             "Text": "測(cè)試"
 16         }, {
 17             "Key": "CreateUserId",
 18             "Value": "{loginUser}",
 19             "Contrast": "==",
 20             "Text": ""
 21         }]
 22     }, {
 23         "Operation": "and",
 24         "Filters": [{
 25             "Key": "AppName",
 26             "Value": "XXX管理平臺(tái)",
 27             "Contrast": "==",
 28             "Text": ""
 29         }, {
 30             "Key": "{loginUser}",
 31             "Value": "229f3a49-ab27-49ce-b383-9f10ca23a9d5,1df68dfd-3b6d-4491-872f-00a0fc6c5a64",
 32             "Contrast": "in",
 33             "Text": "test3,test4"
 34         }]
 35     }]
 36 }

規(guī)則分為三個(gè)部分：【分組】(Children)、【規(guī)則】(Filter)、【操作符】(and or)，而規(guī)則自身就是一個(gè)分組。這種簡(jiǎn)單的結(jié)構(gòu)就可以滿足全部的情況。看不懂啥意思？

這樣理解起來(lái)就比較簡(jiǎn)單了。

還不懂？？我們從簡(jiǎn)單的開始：

某一角色只能看到自己創(chuàng)建的信息。如：針對(duì)資源列表，我們?cè)O(shè)置了【測(cè)試】角色可以看到自己創(chuàng)建的資源。

這時(shí)如果用一個(gè)擁有測(cè)試角色的賬號(hào)（test）登錄，那么他只能看到自己創(chuàng)建的資源：

其他角色的賬號(hào)登錄時(shí)，會(huì)出現(xiàn)無(wú)法看到任何信息。我們稍做調(diào)整：【管理員】角色可以看到所有資源，【測(cè)試】角色只能看到自己創(chuàng)建的資源。

這時(shí)如果用一個(gè)擁有管理員角色的賬號(hào)（admin）登錄，那么他就可以看到全部資源：

以此為基礎(chǔ)，我們可以擴(kuò)展非常復(fù)雜的數(shù)據(jù)權(quán)限控制。最終形成最后的復(fù)雜規(guī)則：【管理員】角色可以看到所有資源，【測(cè)試】角色只能看到自己創(chuàng)建的資源。賬號(hào)test3/test4只能看到應(yīng)用名稱等于“XXX管理平臺(tái)”的資源。

代碼解析--不要BB，秀出你的代碼
可以在應(yīng)用層基類BaseApp中，定義一個(gè)通用函數(shù)，根據(jù)當(dāng)前即將訪問的資源Id獲取相應(yīng)的訪問【數(shù)據(jù)規(guī)則】，并把當(dāng)前登錄的用戶信息注入到該規(guī)則中，最終轉(zhuǎn)換成針對(duì)數(shù)據(jù)庫(kù)的查詢，如下：（不想看這個(gè)？直接跳過(guò)吧，看看如何使用也沒有問題）

 1 protected IQueryable<T> GetDataPrivilege(string parametername)
 2 {
 3 var loginUser = _auth.GetCurrentUser();
 4 if (loginUser.User.Account == Define.SYSTEM_USERNAME) return UnitWork.Find<T>(null); //超級(jí)管理員特權(quán)
 5 
 6 var moduleName = typeof(T).Name;
 7 var rule = UnitWork.FindSingle<DataPrivilegeRule>(u => u.SourceCode == moduleName);
 8 if (rule == null) return UnitWork.Find<T>(null); //沒有設(shè)置數(shù)據(jù)規(guī)則，那么視為該資源允許被任何主體查看
 9 if (rule.PrivilegeRules.Contains(Define.DATAPRIVILEGE_LOGINUSER) ||
 10 rule.PrivilegeRules.Contains(Define.DATAPRIVILEGE_LOGINROLE))
 11 {
 12 
 13 //即把{loginUser} =='xxxxxxx'換為 loginUser.User.Id =='xxxxxxx'，從而把當(dāng)前登錄的用戶名與當(dāng)時(shí)設(shè)計(jì)規(guī)則時(shí)選定的用戶id對(duì)比
 14 rule.PrivilegeRules = rule.PrivilegeRules.Replace(Define.DATAPRIVILEGE_LOGINUSER, loginUser.User.Id);
 15 var roles = loginUser.Roles.Select(u => u.Id).ToList();
 16 roles.Sort(); //按字母排序,這樣可以進(jìn)行l(wèi)ike操作
 17 rule.PrivilegeRules = rule.PrivilegeRules.Replace(Define.DATAPRIVILEGE_LOGINROLE,
 18 string.Join(',',roles));
 19 }
 20 return UnitWork.Find<T>(null).GenerateFilter(parametername,
 21 JsonHelper.Instance.Deserialize<FilterGroup>(rule.PrivilegeRules));
 22 }
這樣在我們自己的應(yīng)用中，使用上面的函數(shù)創(chuàng)建一個(gè)基礎(chǔ)查詢，再加上自定義的查詢條件即可輕松實(shí)現(xiàn)數(shù)據(jù)權(quán)限的控制。

 1 var result = new TableData();
 2 var objs = GetDataPrivilege("u");
 3 if (!string.IsNullOrEmpty(request.key))
 4 {
 5 objs = objs.Where(u => u.Id.Contains(request.key));
 6 }
 7 
 8 result.data = objs.OrderBy(u => u.Id)
 9 .Skip((request.page - 1) * request.limit)
 10 .Take(request.limit);

最后
以上所有代碼均已實(shí)現(xiàn)并開源（配置數(shù)據(jù)規(guī)則的界面可以自己畫，layui的前端畫起來(lái)實(shí)在太費(fèi)力），OpenAuth.Core秉承代碼之美，為.net core添磚加瓦，喜歡的star一下！

覺得不錯(cuò)的話點(diǎn)個(gè)關(guān)注哦

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)題目：大話設(shè)計(jì)，沒有模式—通用權(quán)限設(shè)計(jì)與實(shí)現(xiàn)-創(chuàng)新互聯(lián)
本文鏈接：http://vcdvsql.cn/article42/hoshc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、域名注冊(cè)、靜態(tài)網(wǎng)站、網(wǎng)站策劃、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)