logo标签列表

使用NoSQL文档存储建模RBAC的策略

mongodbmongoosenosql
16
我正准备在我的应用程序中实现一个简化版的基于角色的访问控制,并考虑如何/以什么方式对我的文档存储进行建模,这个文档存储恰好是mongodb,使用mongoose.js作为我的“便利库”。但是这个问题适用于任何文档存储。
在使用文档存储时,决定使用嵌入式对象还是引用对象似乎是一个常见的挑战,因为需要权衡复制与性能等竞争因素。我试图尽可能简单地保持RBAC,并且不过度使用嵌套的集合/Ref IDs,这意味着大量循环,过度使用mongoose的populate等。
问题:
我已经倾向于为用户、权限和角色创建集合;但是将操作和资源建模是否有意义,或者只是使用键/值?

请参见下面的代码示例或jsfiddle,这应该有助于理解问题。请注意,这并不是我想要实现的方式,只是一种检查关系的方法!

/* 
Imagine this being used in a CMS ;)

User: have a role property (e.g. role:"admin" or role:"writer")

Operation: Create,Read,Update,Delete,etc.
Resource:  Page,Post,User, etc.
* For simplicity, we can represent operations and resource with simple strings.

Permission: A permission is an allowable "Operation" on a "Resource"

Role: A Role is just an abstraction of a set of possible "Permissions"
*/

// I could see this as a Permission model in mongo
var adminPerms = {
      create: ['pages','posts', 'users'],
      update: ['posts','pages','users'],
      update_others: ['posts','pages'],
      delete: ['posts','pages','users'],
      read:['pages','posts','users']
};

// I could see this as a Role model in mongo
var admin = {
  perms: adminPerms
};

var writerPerms = {
      create: ['pages','posts'],
      update: ['pages','posts'],
      update_others: [],
      delete: [],
      read:['pages','posts']
};
var writer = {
  perms: writerPerms
};

// Now we can just see if that user's perms has the operation on resource defined
function hasPerms(user, operation, resource) {
    var i, len, op;

    if(!user || !user.role || !operation || !resource) return false;

    if(typeof rolemap[user.role] !== 'undefined' && 
        typeof rolemap[user.role]['perms'] !== 'undefined' &&
        typeof rolemap[user.role]['perms'][operation] !== 'undefined') {

        op = rolemap[user.role]['perms'][operation];
        for(i=0, len=op.length; i<len; i++) {
            if(op[i] === resource) {
                return true;
            }
        }
    }
    return false;
}

var rolemap    = {"admin":admin, "writer":writer}    
var user_admin = {name:'Rob Levin',  role:'admin'}
var user_jack  = {name:'Jack Black', role:'writer'}

hasPerms(user_jack,  'create', 'users')
// false

hasPerms(user_admin, 'create', 'users')
// true

hasPerms(user_admin, 'update_others', 'posts')
// true

hasPerms(user_jack, 'update_others', 'posts')
// false

编辑:假设角色必须在每个应用程序上可编辑,因此我可能希望允许管理员用户控制访问权限;这就是为什么我想使用数据库的原因。

关于全部在应用程序内完成的问题,考虑到需要持久化和可能更改的要求,这种方法行不通。然而,在这个方向上的一个妥协是我可以只使用角色集合:

db.role.find({name:'writer'}).pretty()
{
    "_id" : ObjectId("4f4c2a510785b51c7b11bc45"),
    "name" : "writer",
    "perms" : {
        "create" : [
            "posts",
            "pages"
        ],
        "update" : [
            "posts",
            "pages"
        ],
        "update_others" : [ ],
        "delete" : [ ],
        "read" : [
            "posts",
            "pages"
        ]
    }
}

我可以像下面这样进行更改,例如删除等(假设在调用时已经从mongo检索到角色对象的引用):

function removePerm(role, op, resource) {
  if(!role || !role.perms || !role.perms[op]) {

    console.log("Something not defined!");
    return false;
  }
  var perm = role.perms[op];
  for(var i=0, len=perm.length; i<len; i++) {
    if(perm[i] === resource) {
      perm.splice(i,1);
      break;
    }
  }
}
2个回答
3

我最近在使用mongoosejs处理与Drywall.js中用户/角色/权限相关的需求 - 实际的权限是基于键/值的。它们可以由组共享,并且在管理员级别上可以被逐个覆盖。

虽然它不完全是RBAC,但我希望回顾另一种方法可以帮助您更接近实现目标。

项目概述:

Mongoose模式:

特别注意:

  • /schema/User.js
  • /schema/Admin.js
  • /schema/AdminGroup.js
  • /schema/Account.js

我很想看看你能想出什么。

1

你的设计几乎完全取决于应用程序的行为。基于您在此提供的信息,我建议将数据保存为键/值,而不是保存在数据库中--CRUD操作不会更改,因此没有理由将其放入数据库中。"资源"是您已经构建到代码中的类,因此您也不需要在数据库中复制它。

但是如果我想提供一种方法,让管理员能够在角色内更改权限怎么办?因此,查看我的示例,用户想允许“写入者”对用户具有读取访问权限。他们必须要有访问代码本身的权限。这就是为什么我想要存储它们的原因。因此,在这种情况下,您的界面允许他们选择复选框等,并且角色现在已更改为该应用程序。抱歉,我没有完全解释清楚,我将编辑我的帖子。 - Rob
1
不,没关系,我明白你想做什么。你在编辑中输入的内容很好用。 - Barrie
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接