用NoSQL文档存储建模RBAC的策略

Question

用NoSQL文档存储建模RBAC的策略

我正准备在我的应用程序中实现基于角色的访问控制的精简版本,我正在考虑如何/在我的文档存储中建模,而mongodb与mongoose.js作为我的"便利库".但是这个问题应该适用于任何文档存储.

在使用文档存储时,使用嵌入对象与引用之间的决定是一个很大的挑战,因为复制与性能的竞争因素是什么,而不是.我试图保持RBAC尽可能简单,并且不要在嵌套的Collections/Ref ID上过于疯狂,这将意味着大量的循环,而不是使用mongoose的填充等.

题:

我已经倾向于拥有用户,权限和角色的集合; 但是为操作和资源建模是否有意义,或者只是使用键/值来实现这些？

请参阅下面的代码示例或 jsfiddle ,它应该有助于解决问题.请注意,这并不是我想要实现的方式,而只是一种检查关系的方法!

/* 
Imagine this being used in a CMS ;)

User: have a role property (e.g. role:"admin" or role:"writer")

Operation: Create,Read,Update,Delete,etc.
Resource:  Page,Post,User, etc.
* For simplicity, we can represent operations and resource with simple strings.

Permission: A permission is an allowable "Operation" on a "Resource"

Role: A Role is just an abstraction of a set of possible "Permissions"
*/

// I could see this as a Permission model in mongo
var adminPerms = {
      create: ['pages','posts', 'users'],
      update: ['posts','pages','users'],
      update_others: ['posts','pages'],
      delete: ['posts','pages','users'],
      read:['pages','posts','users']
};

// I could see this as a Role model in mongo
var admin = {
  perms: adminPerms
};

var writerPerms = {
      create: ['pages','posts'],
      update: ['pages','posts'],
      update_others: [],
      delete: [],
      read:['pages','posts']
};
var writer = {
  perms: writerPerms
};

// Now we can just see if that user's perms has the operation on resource defined
function hasPerms(user, operation, resource) {
    var i, len, op;

    if(!user || !user.role || !operation || !resource) return false;

    if(typeof rolemap[user.role] !== 'undefined' && 
        typeof rolemap[user.role]['perms'] !== 'undefined' &&
        typeof rolemap[user.role]['perms'][operation] !== 'undefined') {

        op = rolemap[user.role]['perms'][operation];
        for(i=0, len=op.length; i<len; i++) {
            if(op[i] === resource) {
                return true;
            }
        }
    }
    return false;
}

var rolemap    = {"admin":admin, "writer":writer}    
var user_admin = {name:'Rob Levin',  role:'admin'}
var user_jack  = {name:'Jack Black', role:'writer'}

hasPerms(user_jack,  'create', 'users')
// false

hasPerms(user_admin, 'create', 'users')
// true

hasPerms(user_admin, 'update_others', 'posts')
// true

hasPerms(user_jack, 'update_others', 'posts')
// false

Run Code Online (Sandbox Code Playgroud)

编辑:假设角色必须基于每个应用程序可编辑,所以我可能希望允许管理员用户控制访问权限; 这就是我想使用数据库的原因.

关于在应用程序中完成所有工作,考虑到要求持久化和可能更改,这将无法工作.但是,在这方面的一个妥协是我可以只是角色集合:

db.role.find({name:'writer'}).pretty()
{
    "_id" : ObjectId("4f4c2a510785b51c7b11bc45"),
    "name" : "writer",
    "perms" : {
        "create" : [
            "posts",
            "pages"
        ],
        "update" : [
            "posts",
            "pages"
        ],
        "update_others" : [ ],
        "delete" : [ ],
        "read" : [
            "posts",
            "pages"
        ]
    }
}

Run Code Online (Sandbox Code Playgroud)

而且我可以像删除一样进行更改,如下所示(假设我已经有一个对在调用时从mongo检索的角色对象的引用):

function removePerm(role, op, resource) {
  if(!role || !role.perms || !role.perms[op]) {

    console.log("Something not defined!");
    return false;
  }
  var perm = role.perms[op];
  for(var i=0, len=perm.length; i<len; i++) {
    if(perm[i] === resource) {
      perm.splice(i,1);
      break;
    }
  }
}

Run Code Online (Sandbox Code Playgroud)

Answer 1

小智 1

您的设计几乎完全取决于应用程序的行为。根据您在此处提供的信息，我建议将数据保存在键/值中，而不是保存在数据库中——CRUD 操作不会更改，因此没有理由将其放入数据库中。“资源”是您已经内置到代码中的类，因此您也不需要在数据库中复制它。

归档时间：	13 年，8 月前
查看次数：	7211 次
最近记录：	8 年，3 月前