權(quán)限的游戲：淺談產(chǎn)品權(quán)限分析與設(shè)計

權(quán)限的游戲：淺談產(chǎn)品權(quán)限分析與設(shè)計合理的權(quán)限管理方案將有利于處理更多事務(wù)，提升操作效率，也降低風(fēng)險發(fā)生的可能性。使用者能夠在有限范圍內(nèi)使用資源，管理者基于系統(tǒng)進(jìn)行資源分配。本篇文章講解了4種訪問控制授權(quán)方案，一起來看一下。

目前我們使用的訪問控制授權(quán)方案，主要有以下4種：DAC自主訪問控制ACL訪問控制列表MAC強(qiáng)制訪問控制RBAC基于角色的訪問控制筆者將拆解和分析這4種權(quán)限管理方案的邏輯，并告訴你，這4種權(quán)限分別可以運用在什么樣的場景中，以及它們應(yīng)該怎么設(shè)計。一、DAC自主訪問控制DAC（DiscretionaryAccessControl）自主訪問控制方式：該模型針對每個用戶指明能夠訪問的資源，對于不在指定的資源列表中的對象不允許訪問。《信息系統(tǒng)系項目管理師教程》（第3版）P656如上圖所示，我們假設(shè)有兩名用戶（用戶1、用戶2）和4個權(quán)限（權(quán)限1~4），用戶1指明能夠訪問權(quán)限1和權(quán)限2，用戶2指明能夠訪問權(quán)限3和權(quán)限4，授權(quán)成立之后就會出現(xiàn)如下的情況：用戶1可以正常訪問權(quán)限1和權(quán)限2，但是如果想訪問權(quán)限3或權(quán)限4，由于自身權(quán)限列表中沒有這2個權(quán)限，所以不允許訪問；用戶2也是相同道理，可以訪問權(quán)限3和權(quán)限4，但無法訪問權(quán)限1和權(quán)限2。這種授權(quán)方式適用于用戶少權(quán)限多的場景，常見于網(wǎng)盤的資源分享中.用過網(wǎng)盤的人都知道，網(wǎng)盤的分享功能就是選擇想要分享的文件，點擊分享，這個時候會生成分享鏈接，而這個分享鏈接，其實就是一個“用戶對象”，這個“用戶對象”指定了可以訪問我們所選取的文件，這樣當(dāng)我們把鏈接分享出去的時候，打開鏈接的人就可以看到我們所選取的文件，但對于我們沒有選取的網(wǎng)盤內(nèi)的其他文件，是無法看到的。同理，這個時候如果我選取另外的文件并創(chuàng)建新的分享鏈接，則等同于創(chuàng)建了一個新的“用戶對象”，雖然新的分享鏈接中的文件可能與之前的分享鏈接中的文件重疊甚至完全相同，但是訪問的時候，本質(zhì)上還是根據(jù)不同的“用戶對象”訪問他們被指定允許訪問的資源。二、ACL訪問控制列表ACL（AccessControlList）訪問控制列表方式：該模型是目前應(yīng)用最多的方式。目標(biāo)資源擁有訪問權(quán)限列表，指明允許哪些用戶訪問。如果某個用戶不在訪問控制列表中，則不允許該用戶訪問這個資源?！缎畔⑾到y(tǒng)系項目管理師教程》（第3版）P656從定義上來看，這種授權(quán)方式跟上一種授權(quán)方式本質(zhì)是一樣的，但是授權(quán)的邏輯相反。如上圖，權(quán)限1和權(quán)限2分別指明允許用戶1訪問，權(quán)限3和權(quán)限4分別指明允許用戶2訪問。同樣的，如果用戶1想要訪問沒有被授權(quán)的權(quán)限3和權(quán)限4的時候，便訪問不了。這種授權(quán)方式與上一種授權(quán)方式適用的場景相反，更適用于權(quán)限少用戶多的場景，常用于“抄送”功能中，比如發(fā)郵件時候的抄送功能，或者OA系統(tǒng)審批后的抄送功能，添加抄送人的過程其實就是針對當(dāng)前的這個權(quán)限（郵件或?qū)徟鷨危┲该髟试S哪些用戶訪問的過程。三、MAC強(qiáng)制訪問控制MAC（MandatoryAccessControl）強(qiáng)制訪問控制方式，該模型在軍事和安全部門中應(yīng)用較多，?目標(biāo)具有一個包含等級的安全標(biāo)簽（如:不保密、限制、秘密、機(jī)密、絕密）；訪問者擁有包含等級列表的許可，其中定義了可以訪問哪個級別的目標(biāo)：例如允許訪問秘密級信息，這時，秘密級、限制級和不保密級的信息是允許訪問的，但機(jī)密和絕密級信息不允許訪問?！缎畔⑾到y(tǒng)系項目管理師教程》（第3版）P656如上圖，假設(shè)有4個標(biāo)簽，標(biāo)簽1~4分別對應(yīng)權(quán)限1~4（實際設(shè)計中，一個標(biāo)簽可能對應(yīng)多個權(quán)限），標(biāo)簽等級為：標(biāo)簽1>標(biāo)簽2>標(biāo)簽3>標(biāo)簽4，如果定義了用戶1為標(biāo)簽2，用戶2為標(biāo)簽3，如下：則有：如上，用戶1可以訪問標(biāo)簽2及其等級以下的權(quán)限（權(quán)限2、3、4），用戶2可以訪問標(biāo)簽3及其等級以下的權(quán)限（權(quán)限3、4）。如上文所述，“該模型在軍事和安全部門中應(yīng)用較多”，因此在我們平時的產(chǎn)品中比較少接觸到，接下來我隨便畫畫，根據(jù)上文的定義嘗試分析一下這個權(quán)限在做產(chǎn)品時可以怎么設(shè)計。首先需要有設(shè)計一個“標(biāo)簽管理”頁面：標(biāo)簽需要有等級關(guān)系，等級可以手動輸入，但注意等級不能相同，保存后如需調(diào)整等級，注意調(diào)整前需做好二次確認(rèn)，一旦標(biāo)簽等級調(diào)整，意味著權(quán)限也會跟著變化，當(dāng)標(biāo)簽從低等級往高等級調(diào)整時，會給已關(guān)聯(lián)的用戶釋放更多的權(quán)限；刪除標(biāo)簽時，如果標(biāo)簽已關(guān)聯(lián)了用戶，需要求取消用戶關(guān)聯(lián)，否則刪除后，所關(guān)聯(lián)的用戶將失去所有權(quán)限，無法正常訪問。接著需要一個“標(biāo)簽編輯”頁：注意這里的等級不能與其他已添加的標(biāo)簽等級相同，標(biāo)簽名稱原則上也不能相同，權(quán)限中，已經(jīng)被其他標(biāo)簽關(guān)聯(lián)的權(quán)限需要隱藏或不允許選擇，否則如果一個高級別的標(biāo)簽跟一個低級別的標(biāo)簽都關(guān)聯(lián)了同一個權(quán)限，這樣根據(jù)等級授權(quán)就沒有意義了；把關(guān)聯(lián)用戶也放在標(biāo)簽管理頁，是因為標(biāo)簽與用戶是一對多的關(guān)系，這樣配置起來效率更高，同樣需要注意，已關(guān)聯(lián)了標(biāo)簽的用戶這里需要隱藏或不允許選擇，也可以在用戶管理頁面增加關(guān)聯(lián)用戶標(biāo)簽的設(shè)計。四、RBAC基于角色的訪問控制RBAC（Role-BasedAccessControl）基于角色的訪問控制方式：該模型首先定義一些組織內(nèi)的角色，如局長、科長、職員；再根據(jù)管理規(guī)定給這些角色分配相應(yīng)的權(quán)限，最后對組織內(nèi)的每個人根據(jù)具體業(yè)務(wù)和職位分配一個或多個角色?！缎畔⑾到y(tǒng)系項目管理師教程》（第3版）P656這種可以說是目前絕大多數(shù)系統(tǒng)都在用的一種權(quán)限管理方式。如上圖，假設(shè)有兩個角色，角色1分配權(quán)限1和權(quán)限2，角色2分配權(quán)限3和權(quán)限4，用戶1、2分別屬于角色1、2：則：用戶1可以訪問角色1所擁有的權(quán)限1、2。這種權(quán)限管理方式相對于另外3種，更具靈活性，在常規(guī)的產(chǎn)品設(shè)計中，用戶與角色一般是一對一關(guān)系，即一個用戶只能對應(yīng)一個角色，但為了增加靈活度，也有系統(tǒng)會設(shè)計成一對多關(guān)系，即一個用戶可以對應(yīng)多個角色，用戶的權(quán)限等于所對應(yīng)的角色權(quán)限的總和，甚至還發(fā)展出給用戶單獨授權(quán)的設(shè)計，就是在用戶繼承了角色所有權(quán)限的基礎(chǔ)上，還可以額外再給指定的用戶單獨授權(quán)，這樣這個用戶就比其他同角色的用戶擁有更多權(quán)限。還是隨便畫畫，說說這種權(quán)限管理怎么設(shè)計。首先需要一個“角色管理”頁面：系統(tǒng)初始提供一個“超級管理員”角色