关于权限控制的讨论:操作与数据

最新推荐文章于 2025-02-23 17:16:05 发布
原创 最新推荐文章于 2025-02-23 17:16:05 发布 · 4.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#权限 #操作 #数据 #shiro

本文深入探讨了在权限控制中,如何从用户所属的部门和所拥有的角色两个角度来精细化分配权限。通过部门来确定用户的数据权限,而角色则代表一组特定的操作权限,从而构建出一张针对每个用户的精细权限地图。

在上一篇中,我说过Shiro的wildcardpermission帮我们抽象出一个极具渊源的权限字串:『资源:操作:实例』。

在实际的使用中,我们发现,操作与实例,即『操作』与『数据』,其实可以理解为权限控制的两个角度,并非仅仅是递进层次。即:province:*:bj表示可对北京的数据进行各种操作,而province:edit:*表示可以编辑所有省分的数据。

换言之,又比如:张三是会计,李四是销售,则他们拥有不同的操作权限;而如何张三和李四均为销售,但是一个是销售一部,一个归属销售二部,则他们的权限差异则在于数据,而非动作。

实践中,能很好的体现出这个关系的是『部门』和『角色』。

部门,是用户组,而不应该是角色组。所以,部门是可以与用户一样,控制当前用户对不同数据进行操作的权限。

角色,可作为用户的一个特殊属性,代表了多个permission,进而言之,它代表的是一组操作权限。

所以,在实践中,我们可以从两个角度给用户分配权限,一是他所归属的部门,决定了他的数据权限;另一个是他拥有的角色,决定了他的操作权限。从两个角度织出当前用户精细的权限地图。

数据中台中的数据权限行级安全控制
AI大模型应用之禅
10-07 905
在当今数字化时代,企业积累了海量的数据数据中台作为企业数据整合、共享价值挖掘的核心平台应运而生。数据中台汇聚了企业各业务系统的数据,为企业的决策业务发展提供有力支持。然而,随着数据的集中管理共享,数据安全问题日益突出。数据权限行级安全控制的目的在于确保只有授权的用户能够访问特定的数据,并且对不同用户的访问范围进行精确控制,以保护企业数据的安全性隐私性。本文的范围涵盖了数据中台环境下数据权限行级安全控制的各个方面,包括核心概念、算法原理、实际应用、开发实践以及未来发展趋势等。
数据中台中的数据权限管理:RBAC模型实现
最新发布
AI架构师小马
09-09 1234
随着企业数据资产规模的指数级增长,数据中台已成为企业数据治理的核心基础设施。数据权限管理作为数据中台安全体系的关键模块,直接影响数据资产的安全共享合规使用。传统访问控制模型在面对数据中台复杂的业务场景时逐渐显露出局限性,而RBAC(Role-Based Access Control)模型因其高效的角色抽象能力灵活的权限管理机制,成为数据中台权限管理的主流选择。
数据权限操作权限设计思路
weixin_41799483的博客
12-06 514
数据权限操作权限设计
高级DBA教你Mysql数据库指定某数据库或某表赋予增删改查操作权限各类划分权限的方法总结实战
nasen512的博客
10-24 7516
Mysql数据库指定某数据库或某表赋予增删改查操作权限各类划分权限的方法总结实战,文章列举了各种常用场景方法!
数据权限的设计实现系列1——数据权限的设计思考
学海无涯,行者无疆
10-06 6953
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限数据权限又可以进一步分为行级权限列级权限。功能权限,是指系统用户能进行哪些操作,通常是菜单按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配维护。
Shiro介绍(五):WildcardPermission解读
SHARE & TOP
12-10 9520
对于Role-Permission两级权限体系,大多数情况下,我们都是直接使用Shiro提供的WildcardPermission来实现细粒度的权限控制
WildcardPermission的格式应用
天下布武之信长的专栏
05-05 3038
WildcardPermission,权限字符串的表示方式。 这里重点声明一下。WildcardPermission 是 Shiro 的精妙之处,我们可以将权限表示成字符串,这样对权限的控制可以不拘泥于物理存储,比如对 messagge 类具有修改删除权限可以标识为:message:update,delete:*,其中‘ * ’表示所有;第一级分隔符为‘ : ’;第二级分隔符为‘ , ’,
企业AI Agent的多维安全防护:数据加密访问控制
AI天才研究院
02-23 1201
数据加密的核心目标是保护数据在传输存储过程中的机密性、完整性可用性,防止未授权的访问篡改。数据加密的基本原理是通过加密算法将原始数据(明文)转换为难以理解的密文,只有具备相应解密密钥的用户才能还原明文。数据加密过程通常分为三个主要步骤:密钥生成、加密算法应用解密。首先,密钥生成是加密过程的基础,密钥决定了加密算法的性能安全强度。然后,加密算法将明文转换为密文,这一过程可能涉及复杂的数学运算。最后,通过解密算法密钥,将密文还原为明文。
思考数据建模治理的完美结合
热门推荐
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
02-10 9万+
本文探讨了数据体系化建模的重要性及其在数据治理中的应用。数据建模作为一项系统性工程,能够有效整合组织数据,以满足企业的需求。文章首先介绍了软件体系化建模的概念,并将其数据建模相联系,强调了数据需求模型设计之间的统一。接着,深入分析了数据体系化建模的步骤,包括高层模型设计物理模型设计的协同,确保了数据的可追溯性一致性。最后,文章还讨论了实施数据治理时对数据质量、安全合规性的考虑,指出良好的数据质量是确保组织决策可靠性的关键。
数据安全审计:如何对敏感数据进行加密访问控制,确保数据的安全性
AI天才研究院
06-29 8284
作者:禅计算机程序设计艺术 数据安全审计:如何对敏感数据进行加密访问控制,确保数据的安全性 引言 随着大数据时代的到来,敏感数据的安全问题越来越引起人们的关注。敏感数据是指那些一旦被泄露或遭受破坏,会对组织或
004-shiro授权
这个需求,做不了
03-10 388
授权三要素 授权具有三个在Shiro中引用的核心元素:权限,角色用户 权限:比如公司给你提供办公电脑,你可以使用该电脑,你的同事不能使用,但你不能将此电脑卖了换钱。(权限就是对某个资源的处理权。处理权分多种,这里就是使用变卖) 角色:在公司来说,员工就是角色,领导也是角色,他不是具体的某个人,可以只某个岗位(研发、测试、产品),或者是某个部门(组织部、研发部),角色就是代表一类用户,在授权中,角色就是代表拥有某些共同权限的一类用户。 用户:用户是使用系统的用户,一般情况下,用户角色绑定,角色
shiro权限控制原理及权限分隔符使用
h363659487的博客
06-27 1482
shiro鉴权的原理及权限code的使用测试DEMO
【全栈开发指南】数据权限使用配置
全栈程序猿的专栏
07-11 4640
数据权限配置有两种方式:通过系统配置界面,实时配置生效。通过代码注解配置。
通用权限设计
xuanbg的专栏
07-23 2385
1      引言 权限,可分为“功能(操作权限数据权限两种,在系统中,两种权限应当同时有效。例如,在windows系统中,某用户具有新建一个文件的功能权限,该用户在C盘没有写权限,但在D盘有写权限;则该用户不能把他创建的文件保存在C盘而只能保存在D盘。 在上述例子中,能否创建文件是由功能权限来控制的,能否保存文件是由数据权限进行控制的。只有两者同时有效,用户的业务才能顺利进行。 1.
Shiro源码分析 -- Subject.isPermitted(permission)已登陆用户判断是否具有某权限
TragedyXD的专栏
10-28 1万+
这行代码用来判断已登陆用户是否具有某权限 subject.isPermitted(permission.getPermission());假设登陆用户已有权限:system 我们需要判断的权限:    system:role:add 问题在于,此时shiro会判断用户具有system:role:add权限。 通过单步跟踪找到: WildcardPermission.impli
数据权限字段权限设计指南
nbsaas-boot基于Request-Response的企业级快速开发框架
06-29 1938
数据权限是指用户在信息系统中对数据进行操作的权利限制。数据权限通常涉及数据查看、添加、修改删除等操作。字段权限是指用户对数据表中某些特定字段的访问控制。字段权限可以进一步细化数据权限,使得系统对数据的控制更加精确。
权限系统:一文搞懂功能权限数据权限
汤师爷的博客
11-10 2398
上海店的店长 A 杭州店的店长 B 都拥有 POS 管理权限,但由于数据权限的限制,店长 A 只能访问上海店的数据,而店长 B 则只能访问杭州店的数据。功能权限的分层结构(模块、页面、按钮、字段)让企业能够灵活分配权限,既保障了系统的安全性,又提升了员工的工作效率。数据权限的粒度决定了用户可以访问数据的范围。数据权限是在功能权限的基础上,进一步限制用户可以访问的数据范围,确保数据使用的精确性安全性。数据权限通过精细化的范围控制,不仅能减少信息泄露风险,还能提升管理者的全局视角,优化企业的运营效率。
数据权限作用操作:注解+AOP+动态SQL
m0_46478235的博客
11-03 2210
数据权限作用操作:注解+AOP+动态SQL
权限开发手册,数据权限接口权限配置
Java开发,人工智能,边缘计算,致力于掌握前沿技术
01-27 1万+
权限开发手册 一般来说,权限有许多种,我们经常用到的一般有操作权限数据权限两种。 功能权限 所谓操作权限就是有或者没有做某种操作权限,具体表现形式就是你看不到某个菜单或按钮,当然也有的是把菜单或按钮灰掉的形式。操作权限一般都在显示界面做一次控制,过滤没有权限操作菜单或按钮,另外在真正执行操作时,还要进行一次权限检查,确保控制非授权访问。操作权限都是围绕角色来开展的,目的就是要实现操作的角色化。 功能权限控制 在上图所示的ER图关系中,角色(blade_role)菜单表(blade_menu)通过 角色
通用权限管理模型:扩展功能数据权限控制
本文主要讨论的是功能权限控制的扩展,特别是在权限管理领域的应用。权限管理是确保系统安全性隐私保护的关键组成部分,它决定了用户可以访问哪些资源以及可以执行的操作。在IT系统中,功能权限控制涉及到用户能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值