Fibman - 全新的权限管理 Gem
序
长期以来,在 Rails 项目中权限管理使用cancan已成为大多数场景下的最佳实践。从我个人经历来说,无论是个人还是公司的项目都不例外。
最近,公司进行业务升级,权限管理的方式也需要改动,从过去的基于固定角色定义改变为基于动态角色定义,并需要开放给相关用户进行自定义的权限设定。而在权限管理的维度上,现阶段产品也并不能给出最终的确定方案。
当这样一个业务需求排上来的时候,经过分析,支撑业务所需要的权限系统需要满足以下几点功能:
- 多维度的权限收集和定义 (开放权限管理范围)
- 目标对象的权限持久化 (自定义权限)
- 权限控制
而cancan对于以上几点能给出的解决方案,有,但是太繁琐。所以,开发一套摒弃cancan并能够满足以上功能的新权限管理模块的想法便产生了。
(依然要向 cancan 致敬,开发中也有部分参考 cancan 的设计)
设计思想
既然要开发全新的权限系统,就要创造一些新的特性。
摆脱 Rails 束缚
不基于 Rails 进行设计,最终的权限控制通过模块注入的方式对 Rails 或其他框架进行适配。
权限模块实例化
在一个系统中,可定义多个权限模块并各自收集管理权限,互相完全独立。可以解决同项目多系统的权限管理问题。
权限维度多样化
可以定义上述三种类型的权限并打包为权限集
- url 设定访问请求 url 的权限
- action MVC 架构中,设定访问 controller action 权限。
- key 设定自定义 key 作为权限载体
持久化
使用 Redis 保存自定义权限
源码及安装使用
补充
现阶段为了尽快满足项目需求,还没有加入测试代码,也可能会存在特定场景下功能不完善的情况,所以不建议使用到生产环境或者重要项目中,希望大家有机会试用并提出各种意见,或者 Fork 之后增强功能 (Fix Bug),我也将第一时间进行处理。
我也写过这样一个 rails engine,实现了:
- action MVC 架构中,设定访问 controller action 权限。
- key 设定自定义 key 作为权限载体
不过我是:
- 有一个 UI 界面,可以根据路由自动获取 controller/action 信息;
- 把数据存在数据库中,然后用了 Rails.cache 做的缓存。
mingyuan0715
回复
确实遇到了相似的场景。设计时也考虑过 根据路由自动获取controller/action信息。最终还是感觉能够通过权限收集,把多个 action 组装成意义更明确的权限集用来开放管理,更符合当前的业务场景,也有灵活性,就是比较费事,每次加入新的功能都需要定义对应 action 的权限所属。
541991a
回复
我自动获取的 action 信息 存到一个表里,然后是可以编辑的,也可以删除和再增量自动获取。
- 也可以支持多个 action 组合的,rule 记录成 [action1, action2]
- 也支持参数列表。
section/action 列表。section 对应 controller,rule 对应 action
rule 编辑:
可以做到增加 actions/controller 后不用改一行代码,在 ui 里配置下就行了。
不用写代码配置 很难做到。这样只能简单的做到 直接把所有的 action 都禁掉。但其实 我们做权限重要的是要对用户和数据进行权限判断,比如 A 可以访问 项目 A 但是 访问不了项目 B。大家有没什么好的办法对数据 用户 进行关联的权限判断?
chen_rb
回复
对于资源的限制方面cancan做的比较好,我在这个方面实现就比较简单:
add :permission1, "Permission1" do
def_action DemoController, :show do |user, request|
# 扩展权限验证,额外进行权限判断
user.demo.id == request.params[:id]
end
def_url "demo/list" do |user, request|
# True or False
end
end
用 proc 提供自定义验证,提供当前用户和 request 对象在定义权限时做额外判断。
