本文主要主要介绍了RBAC授权模式,和IDaaS的权限系统的设计架构以及权限系统的主要功能。

一、RBAC模型

RBAC,基于角色的权限访问控制Role-Based Access Control):

RBAC的核心在于用户只和角色关联,而角色代表对了权限,是一系列权限的集合。

RBAC三要素:

  • 用户:系统中所有的账户
  • 角色:一系列权限的集合(如:管理员,开发者,审计管理员等)
  • 权限:菜单,按钮,数据的增删改查等详细权限。

在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系同样也存在继承关系防止越权。

  • 优点:便于角色划分,更灵活的授权管理;最小颗粒度授权

二、设计架构

  1. 授权架构

    IDaaS权限系统的架构依赖于RBAC模型,无论是在功能设计思路还是在用户体验上,权限,角色,用户三者关联关系可灵活组合,从而实现精细化授权。

    此外,我们不仅支持按角色授权,同时也支持按账户直接授权。让用户的授权变的更加便捷,尤其是人员较少的企业极为使用。我们满足各类授权方式,按需求可灵活自由操作,极大地简化了权限分配的管理。

  2. 三级权限

    我们将整体授权类型划分为三级

    (1)一级权限:访问权限

    (2)二级权限:菜单、按钮权限

    (3)三级权限:数据权限

    依据不同等级的授权,来控制授权的最小的颗粒度。

  3. 权限系统

    IDaaS权限系统,不仅支持IDaaS本身的一系列授权活动,还支持第三方接入,做到真正意义上的集中授权。我们提供丰富的API接口,方便业务系统能够更好对接。

三、主要功能

权限系统主要包括以下功能:

(1)默认权限系统(IDaaS平台)

1、角色管理

1)可以授予用户开发者角色

2、授权管理

1)授权->角色:支持授权到角色

2)授权->个人:支持授权到个人

3、查看系统详情

1)默认权限系统的权限详情查看

(2)第三方接入(外部系统接入)

1、新增系统

1)系统新建,管理

2、角色管理

1)用户可以按需定义角色

2)支持批量导入

3、授权管理

1)授权->角色:支持授权到角色

2)授权->个人:支持授权到个人

3)表格导入

4、资源管理

1)资源新增

2)资源导入、导出

5、查看系统详情

1)第三方接入系统的权限信息详情查看

5、权限系统API接口清单

1)权限系统全局接口

2)角色管理接口

3)授权管理接口

4)鉴权接口

最佳第三方接入实践,详见第三方业务系统接入权限系统