摘要: 本文由任浩军投稿,一般而言,企业内部一套成熟的权限系统,都是基于角色(Role)的 访问控制方法(RBAC – Role Based Access Control),即权限(Permission)与角色相关联,用户(User)通过成为适当角色的成员而得到这些角色的权限,权限包含资源(或者与操作组合方式相结合),最终实现权限控制的目的。
权限系统是根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。
一般而言,企业内部一套成熟的权限系统,都是基于角色(Role)的访问控制方法(RBAC – Role Based Access Control),即权限(Permission)与角色相关联,用户(User)通过成为适当角色的成员而得到这些角色的权限,权限包含资源(或者与操作组合方式相结合),最终实现权限控制的目的。
一言以蔽之,基于角色的访问控制方法的访问逻辑表达式为“Who对What(Which)进行How的操作”,它的由内到外的逻辑结构为权限->角色->用户,即一个角色对应绑定多个权限,一个用户对应绑定多个角色,这也是秦苍基础架构部对于公共权限服务实现的基本指导思想。
<center>权限服务与基础架构部其他公共服务的关系图</center>
对于API权限,我们实行基于注解(Annotation)的扫描入库和拦截,不需要业务服务自行在界面上录入
API权限以每个接口或者实现类中的方法作为权限资源,每个权限和微服务名(Service Name)挂钩。
我们通过在业务服务的API上添加注解的方式,进行权限定义。基础架构部会提供一个权限组件(Permission Component)Jar给业务服务部门,里面包含了自定义的注解,这样的实现方式,对业务服务的影响非常小,增加权限机制只是在代码层面加几个注解而已。具体使用方式如下
对于一个普通的接口类,我们可以这样定义:
@Group(name = "User Permission Group", label = "用户权限组", description = "用户权限组")
public interface UserService {
@Permission(name = "Add User", label = "添加用户")
boolean addUser(@UserId String userId, User user);
@Permission(name = "Delete User", label = "删除用户", description = "删除用户")
boolean deleteUser(@UserId String userId, User user);
}
对于通过Swagger方式暴露出去的API,我们可以这样定义:
@Path("/user")
@Consumes(MediaType.APPLICATION_JSON)
@Produces(MediaType.APPLICATION_JSON)
@Api(value = "User resource operations")
@Group(name = "User Permission Group", label = "用户权限组", description = "用户权限组")
public interface UserService {
@GET
@Path("/addUser/{userId}")
@Permission(name = "Add User", label = "添加用户")
boolean addUser(@PathParam("userId") @UserId String userId, User user);
@POST
@Path("/deleteUser/{userId}")
@Permission(name = "Delete User", label = "删除用户", description = "删除用户")
boolean deleteUser(@PathParam("userId") @UserId String userId, User user);
}
在上述简短的代码中,我们可以发现有三个自定义的注解,@Group、@Permission和@UserId。
当API权限定义好以后,我们在权限组件里面加入扫描权限入库和拦截的算法。采用Spring AutoProxy自动代理的框架来实现我们的扫描算法。
// 返回拦截类,拦截类必须实现MethodInterceptor接口,即PermissionInterceptor
protected abstract Class<? extends MethodInterceptor> getInterceptorClass();
// 返回接口或者类的方法名上的注解,如果接口或者类中方法名上存在该注解,即认为该接口或者类需要被代理
protected abstract Class<? extends Annotation> getMethodAnnotationClass();
// 扫描到接口或者类的方法名上的注解后,所要做的处理
protected abstract void methodAnnotationScanned(Class<?> targetClass);
在微服务的Spring容器启动的时候,将自动触发权限数据入库的事件
通过上述阐述,我们就实现了权限的扫描入库和拦截
角色是一组API权限的汇总,每个角色也将和微服务名挂钩。角色组的作用是为了汇总和管理众多的角色
角色管理需要人工在界面上进行操作,角色管理分为角色组增删改查,以及每个角色组下的角色增删改查
权限不能直接和用户绑定,必须通过角色作为中间桥梁进行关联。那么我们要实现
<center> 角色和权限的绑定页面 </center>
<center> 用户和角色的绑定页面 </center
通过远程RPC方式的调用
@Configuration
@ComponentScan(basePackages = { "com.omniprimeinc.service.myservice " })
@Import({ com.omniprimeinc.commonservice.permission.api.config.Config.class,
com.omniprimeinc.commonservice.permission.annotations.config.Config.class })
public class Config {
}
@Path("/authorization")
@Consumes(MediaType.APPLICATION_JSON)
@Produces(MediaType.APPLICATION_JSON)
@Api(value = "Authorization resource operations")
public interface AuthorizationResource {
@GET
@Path("/authorize/{userId}/{permissionName}/{serviceName}")
Boolean authorize(@PathParam("userId") String userId, @PathParam("permissionName") String permissionName, @PathParam("serviceName") String serviceName);
}
http://host:port/authorization/authorize/{userId}/{permissionName}/{serviceName}
通过User ID、Permission Name(权限名,映射于对应的方法名)、Service Name(应用名)来判断是否被授权,返回结果是true或者false
用户服务即整合了Ldap系统的用户和桥接业务用户系统
权限服务接入用户服务后,可以在权限授权页面上选取相应的用户进行权限授权
未来规划,服务之间的调用增加如下机制
xujin
关注
发布 42 |
评论 15 |