資訊專欄INFORMATION COLUMN
摘要:建模權(quán)限管理系統(tǒng)對于操作角色和資源有條關(guān)系分別是如果對應(yīng)的操作權(quán)限不存在表示沒有權(quán)限這里為的資源有兩條操作權(quán)限記錄分別對應(yīng)這樣我們就可以定義具有某個角色的用戶在指定的資源上擁有什么權(quán)限這種判斷來達(dá)到控制用戶對資源的訪問節(jié)點關(guān)系創(chuàng)建創(chuàng)
建模RBAC權(quán)限管理系統(tǒng)
對于CRUD操作, 角色和資源有4條關(guān)系. 分別是CREATE,UPDATE,READ,DELETE. 如果對應(yīng)的操作權(quán)限不存在, 表示沒有權(quán)限.
這里ID為 c508b480-082e-11e8-9f0c-b8e8563f0d3a的資源有兩條操作權(quán)限記錄(分別對應(yīng)READ, CREATE). 這樣我們就可以定義具有某個角色的用戶在指定的資源上擁有什么權(quán)限這種判斷, 來達(dá)到控制用戶對資源的訪問.
Cypher 節(jié)點關(guān)系創(chuàng)建// 創(chuàng)建角色(管理員,運維,普通用戶)
CREATE (:Role {name: "Operator"}),(:Role {name: "Admin"}),(:Role {name: "User"});
// 創(chuàng)建資源節(jié)點
CREATE (resource:Resource {path: "/", name: "根目錄"})
RETURN resource;
// 普通用戶在資源 / 上有, READ, CREATE權(quán)限
MATCH (role:Role {name: "User"}), (resource:Resource {path: "/"})
CREATE (role)-[op:READ {created_at: timestamp()}]->(resource);
MATCH (role:Role {name: "User"}), (resource:Resource {path: "/"})
CREATE (role)-[op:CREATE {created_at: timestamp()}]->(resource);
// 查詢一個用戶在某個資源山的操作權(quán)限列表
MATCH (u:User {name: "測試用戶"})-[r:HAS_ROLE]->(role:Role {name: "User"})-[op]->(resource)
WHERE u.roleId = role.uuid
RETURN u.name,op.name, resource.path;
抽象表達(dá)
在實際的查詢需要把用戶(u), 角色(r), 資源(s)參數(shù)化. 我們用一個函數(shù)來表達(dá)
$$P = f(u, r, s)$$
P為具有某個角色(r)的用戶(u)在資源s上的權(quán)限集合.Cypher 查詢語句
// 權(quán)限查詢
MATCH (u:User)
-[:HAS_ROLE]->(r:Role {name: "User"})
-[op]->(resource:Resource {path: "/"})
RETURN u.uuid as user_id,
r.name as role_name,
resource.path as resource_path,
type(op) as operation;
在IDEA中的Neo4j插件, 支持單一語句執(zhí)行(在.cypher文件中可以保持多條Cypher查詢語句, 點擊一條語句會有綠色的框, 然后在點擊執(zhí)行按鈕會執(zhí)行這條被選中的Cypher語句).
在Neo4j Browser中的效果
參考資料RBAC權(quán)限管理模型
RBAC for a B2B Saas platform
