IT系统的权限管理设计思想和实现.pptx

LOGO,IT,系统的权限管理,大道至简,，,衍化至繁,冰之雪剑,bzxj100,原理篇,1,3,2,目录,实现篇,展望篇,权限本质,Who,How+What,主体,客体,允许和禁止,固有规则,流程规则,风险合规,临时规则,？,最流行的标准,RBAC,基本模型,RBAC 0,限制模型,RBAC 2,角色分级模型,RBAC 1,统一模型,RBAC 3,users,roles,objects,operations,permissions,引入角色间的继承关系,添加了责任,分离关系,包含了,RBAC 1,和,RBAC 2,RBAC 0,角色,操作,用户角色分配,UA,角色许可分配,PA,用户,会话,对象,许可,设计的弹性,主体,固定,数据,数据,数据,数据,API,API,API,可变,管理功能,授权,配置,(,批量，限制,),需要解决的问题,？,？,？,鉴权请求,鉴权结果,统一权限服务？,APP1,APP2,APP n,统一权限服务,鉴权接口,鉴权请求,鉴权请求,鉴权结果,鉴权结果,基于中间件云,基于缓存云,数据对象读取接口,EAI,申请,&,授权,(,by portal,),可选,原理篇,1,3,2,目录,实现篇,展望篇,权限和业务的分离,权限,业务,数据,API,鉴权,map,资源,录入或导入,第三方服务,API,用户与用户组,用户组,用户,动态组,静态组,动态组,1.,需要定期静态化；,2.,不能嵌套；,角色,四个有争议的特征，我们的选择,包含,多种维度的数据控制；,不能,嵌套；,用户,具有多角色时，数据控制会叠加；,支持,用户对象具有的属性，作为动态参数；,三个待考虑的特征,角色,优先级；,角色,顺序属性；,角色,的多重分类；,功能,&,数据,批量,授权：模板化,单页授权,鉴权的使用,通用逻辑,(,针对粗粒度权限,),Step 1,开发,Step 2,规范,Step 3,维护,完成业务本身功能，不考虑或延后考虑权限相关内容,在粗粒度的资源产生的事件或逻辑中，嵌入按类别处理的代码逻辑,(,设计人员制定规则,),管理或者业务人员，可以再实施或运行阶段按需录入资源信息和相关授权,鉴权的使用,细粒度权限,本质是对数据的,CRUD,时，附加,where,约束，可通过,API,获取，转换并进行直接或参数化拼接,实际使用可能涉及子查询，存储过程等，这个需要改写存储过程，或者在子查询,SQL,中预留适合位置,查询时，最佳方法是初始化时先进行了数据控制，然后直接查，这个可以使用通用逻辑，无须编码,实现的总结,非严格意义的,RBAC,标准的实现,考虑易用性和控制粒度的平衡,严格界定权限管理的职责范围,原理篇,1,3,2,目录,实现篇,展望篇,展望,对接合规管理,对接规则引擎,服务化和维护支持,岗位权限和自动授权,如果对内容有任何意见，欢迎和我探讨,bzxj100,