第三章

用戶角色權限RBCA 

第一章介紹了專業細粒度權限管理軟件 Metadmin 的安裝。第二章講解了對于 WEB 頁面的控制。哪些頁面需要登錄才能訪問，哪些頁面不需要登錄就能訪問。需要登錄的頁面，又如何頁面訪問權限呢？即具有什么樣角色的人才能訪問。 

本章詳細講解用戶角色權限關系。這也就是 RBCA(Role Based Access Control ，基于角色的訪問控制 ) 。功能級權限控制到本章為止，就介紹完畢。下章開始介紹細粒度權限控制。 

場景介紹

基于角色控制模型已經深入人心，關系并不復雜，廣泛運用于各個系統。通過給用戶賦予角色、角色擁有權限的模式，達到控制用戶具有權限的目的。同時，還復用了角色，這樣可以讓多個相同職務（或職能）的人擁有同樣的角色。 

比如：

1. 張三是管理員，他可以修改系統配置參數；
2. 李四是客服人員，他可以呼叫客戶，處理客戶反饋；
3. 王五是銷售人員，他可以下訂單，維護客戶資料。

RBAC 局限性

通過這種定義方式，只要擁有該權限的人，訪問該資源的時候，會產生相同的效果。比如：李四是北京客服人員，而洪七是上海客服人員，他們呼叫的客戶范圍是不同的。

如果，定義北京客戶人員，上海客戶人員 2 種角色，那么如果有多個地方，這維護起來太費力。

如果，給李四和洪七的用戶名下，分配資源。就是有些網友提出的解決方案：用戶－－資源表。那么每個用戶都要維護一次，每個客戶維護一次，這更費力。

顯然上述兩種方案，都不可取。因為，這些都屬于細粒度、數據級的權限控制， RBAC 模型無能為力。這種細粒度控制下章開始介紹。

數據庫模型

基本信息表

權限定義，要包含以下幾大類信息：

1, 該權限的基本信息；

2, 一般會將整個系統權限看成一棵樹，該權限在權限樹上的位置；

3, 該權限對應的資源，一般為 WEB URL 。

那么權限表有這么幾個字段： id, name, description, parented, url, target

角色定義非常簡單： id, name, description

用戶表就不多說了，這是一個業務領域的表。不同系統，用戶表結構是不一樣的。

權限關系表

角色、權限關系表： id, privilegeId, roleId ，一個角色可以擁有多個權限，一個權限可以被多個角色擁有，多對多關系。

用戶、角色關系表： id, userId, roleId ，同樣是多對多關系。

判斷邏輯

指定用戶、指定權限，判斷該用戶是否擁有該權限。

select roleId from 用戶、權限管理系表 where userId=? and roleId in( select roleId from 角色、權限關系表where privilegeId=?)

如果有記錄，表明該用戶擁有該權限，否則表示不擁有。

如果使用 Metadmin

Metadmin 是細粒度權限管理中間件，可以在 www.metadmin.com 下載試用版。以下界面均引用下載程序包里面的演示示例。

在安裝用戶元數據文件的時候， Metadmin 會自動創建相關權限表（權限表、角色表、權限角色關系表、角色用戶關系表）。在 RBAC 控制方面， Metadmin 提供如下服務：

1, 自動創建相關數據庫表；

2, 維護權限、角色、給用戶授權，整套后臺程序以及前臺界面；

3, 提供權限認證 API ，供業務系統調用。

開發者只要在業務方法里面調用 API 即可，不需要做任何程序開發。

權限界面及常量導出

權限維護界面：樹形結構

權限定義維護界面：輸入項參數

常量導出界面：導出定義的權限，開發者將這些常量放入自定義的常量類里面，方便以常量的形式引用各種權限。

其他界面

其他管理界面，創建角色、給角色分配權限，給用戶分配權限。這些沒有什么特殊之處，僅貼出給角色分配權限界面，其他不再多說了。

給角色分配權限界面：

API

就功能權限方面， Metadmin 提供如下 2 個 API ：

MetadminService 類：

WebMetadminService 類，更方面給 WEB 程序調用的，自動從 req 里面讀取用戶：

完整 API 可在線瀏覽： http://www.metadmin.com/doc/javadoc/index.html

Metadmin 對于應用安全的考慮

細心的讀者，肯定會問：

1, 給用戶分配角色是業務管理職責，創建角色、權限，維護角色、權限關系是系統管理員職責。這樣籠統的提供一個界面，讓大家都能使用，這種做法不可取。

2, 即便是給用戶分配角色，不同業務管理員可以分配的用戶范圍是不同的。

是的， Metadmin 對此持有相同看法。為此， Metadmin 預定義了 3 個權限：角色管理、給用戶分配角色和策略管理三種角色。

如圖示：

擁有“角色管理”權限的用戶，可以增加、刪除、修改角色，維護角色擁有的權限；

擁有“給用戶分配角色”權限的用戶，可以管理用戶具有的角色。至于該用戶能夠查看到哪些用戶， Metadmin 也預留了控制功能。如何控制在此暫時不表。

擁有“策略管理”權限的用戶，能夠進行細粒度權限管理工作，制定權限策略。如何制定權限策略，以后章節會逐步介紹。

為了讓對 Metadmin 界面訪問權限生效，還需要對 web.xml 進行修改。將 secured 參數值由 false 改為 true 。

如圖示：