【权限控制】一个通用的用户权限控制架构设计方案，可以适用于大多数应用场景

在设计用户权限控制的架构时，需要考虑系统的安全性、可扩展性、灵活性以及易维护性。以下是一个通用的用户权限控制架构设计方案，可以适用于大多数应用场景：

1. 架构概览

用户权限控制通常分为三个核心部分：用户管理（User Management）、角色管理（Role Management）、权限管理（Permission Management）。通过这三个部分的组合，实现对不同用户的权限控制。

2. 角色模型设计

2.1 用户（User）

每个用户都是系统中的一个实体，用户模型包含如下信息：

• 用户ID（UserID）：唯一标识用户的ID。
• 用户名（Username）：用户的登录名。
• 密码（Password）：用户的加密密码。
• 邮箱（Email）：用户的联系邮箱。
• 状态（Status）：用户是否激活、锁定、禁用等状态。
• 角色列表（Roles）：用户所拥有的角色集合。

2.2 角色（Role）

角色是权限的载体，将权限赋予角色，再将角色分配给用户。

• 角色ID（RoleID）：唯一标识角色的ID。
• 角色名称（RoleName）：描述角色的名称，如管理员、编辑者、查看者等。
• 角色描述（Description）：对角色的功能描述。
• 权限列表（Permissions）：角色所拥有的权限集合。

2.3 权限（Permission）

权限是系统中可以被控制的操作或资源。

• 权限ID（PermissionID）：唯一标识权限的ID。
• 权限名称（PermissionName）：权限的具体操作，如read_user、write_article等。
• 权限描述（Description）：对权限的功能描述。

3. 权限控制策略

3.1 RBAC模型（Role-Based Access Control）

RBAC是一种基于角色的权限控制模型，通过角色与用户和权限的关联来管理权限，适用于大多数应用场景。

• 用户-角色映射（User-Role Mapping）：将用户与角色进行关联，一个用户可以拥有多个角色。
• 角色-权限映射（Role-Permission Mapping）：将角色与权限进行关联，一个角色可以拥有多个权限。
• 权限检查（Permission Check）：在用户请求资源或操作时，系统会验证用户的角色是否拥有该操作的权限。

3.2 ACL模型（Access Control List）

ACL是一种访问控制列表模型，更加细粒度的控制用户对具体资源的操作权限。通常在有复杂权限需求时使用。

• 用户-资源-权限映射（User-Resource-Permission Mapping）：将用户、资源和权限三者进行关联。

4. 数据库设计

基于RBAC模型的数据库表设计：

1. 用户表（User Table）

   CREATE TABLE User (UserID INT PRIMARY KEY AUTO_INCREMENT,Username VARCHAR(50) NOT NULL,Password VARCHAR(255) NOT NULL,Email VARCHAR(100) UNIQUE,Status ENUM('Active', 'Inactive', 'Locked') DEFAULT 'Active'
   );
   

2. 角色表（Role Table）

   CREATE TABLE Role (RoleID INT PRIMARY KEY AUTO_INCREMENT,RoleName VARCHAR(50) NOT NULL UNIQUE,Description VARCHAR(255)
   );
   

3. 权限表（Permission Table）

   CREATE TABLE Permission (PermissionID INT PRIMARY KEY AUTO_INCREMENT,PermissionName VARCHAR(50) NOT NULL UNIQUE,Description VARCHAR(255)
   );
   

4. 用户角色关联表（User_Role Table）

   CREATE TABLE User_Role (UserID INT,RoleID INT,FOREIGN KEY (UserID) REFERENCES User(UserID),FOREIGN KEY (RoleID) REFERENCES Role(RoleID),PRIMARY KEY (UserID, RoleID)
   );
   

5. 角色权限关联表（Role_Permission Table）

   CREATE TABLE Role_Permission (RoleID INT,PermissionID INT,FOREIGN KEY (RoleID) REFERENCES Role(RoleID),FOREIGN KEY (PermissionID) REFERENCES Permission(PermissionID),PRIMARY KEY (RoleID, PermissionID)
   );
   

5. API接口设计

5.1 用户管理接口

• 注册用户：POST /api/users/register
• 更新用户信息：PUT /api/users/{id}
• 删除用户：DELETE /api/users/{id}

5.2 角色管理接口

• 创建角色：POST /api/roles
• 更新角色信息：PUT /api/roles/{id}
• 删除角色：DELETE /api/roles/{id}

5.3 权限管理接口

• 创建权限：POST /api/permissions
• 更新权限信息：PUT /api/permissions/{id}
• 删除权限：DELETE /api/permissions/{id}

5.4 权限分配接口

• 分配角色给用户：POST /api/users/{id}/roles
• 分配权限给角色：POST /api/roles/{id}/permissions

6. 权限控制流程

1. 用户登录：用户提交用户名和密码，系统验证身份，生成并返回JWT令牌。
2. 权限验证：每次用户请求受保护的资源时，系统从JWT令牌中解析用户信息和角色，并根据用户角色检查是否有该操作的权限。
3. 拒绝访问：如果用户没有权限，则返回403 Forbidden错误。

7. 扩展性考虑

1. 多级角色继承：支持角色之间的继承关系，使得角色的管理更加灵活。
2. 动态权限管理：支持在运行时动态添加、删除和修改角色和权限，不需要重启系统。
3. 缓存机制：对于频繁访问的权限数据，使用缓存机制提高性能。

8. 安全性考虑

1. 密码加密存储：使用安全算法（如bcrypt）对用户密码进行加密存储。
2. JWT安全传输：JWT令牌要使用安全的签名和加密方式，确保数据不被篡改。
3. 操作日志记录：记录所有权限变更和重要操作，方便审计和追踪。

该架构方案适用于中大型系统，可以在不同业务场景下灵活调整。

代码实现可见

【FasAPI】使用FastAPI来实现一个基于RBAC（基于角色的访问控制）的用户权限控制系统