授权:根据用户授权过滤数据

Question

我们需要实现如下授权规则。

如果用户是超级管理员，则向他提供所有客户信息。比如订单信息。如果用户是客户管理员，请仅向其提供自己的客户信息。等。

我们计划在DAO层实现过滤。

对于创建通用设计来处理这种情况，可以有什么建议？假设我们的应用程序已经有一个用于RBAC(基于角色的授权控制)的DB模型。我们对任何DAO技术都是开放的，比如JPA、iBATIS或者原生查询等等。

高级验收标准是授权策略应该是可配置的，并且可以在运行时更改。例如:如果客户管理员可以看到自己的数据，在未来的规则可以改变，以允许他们看到自己和朋友的数据。

我们评估了像XACML这样的授权策略，但由于其复杂性，不喜欢实现它。我们正计划编写一个自主开发的解决方案。有任何建议，欢迎光临。

Answer 1

您在答案中写道，您查看了XACML，但没有实现它。您应该做的是使用现成的XACML，无论是供应商还是开源替代方案。你可以在WSO2 (开源)或Axiomatics (供应商)这两个类别中找到很多东西。

XACML是基于属性的细粒度访问控制的去因子标准(请参阅有关该主题的NIST的page )。它已经有10年的历史了，背后有IBM、微软、甲骨文、Axiomatics和美国银行等公司的支持。恕我直言，我非常怀疑一个本土的解决方案是否可行。

您正在寻找DAO层的过滤。看起来你可以用Data Access Filter。它是基于XACML的，您不需要实现任何特定的东西(阅读:开发人员的工作量非常低)。

我不能强迫你这样或那样去做，但我会认真考虑基于标准的。任何其他方式在短期内听起来都是一个好主意，但从中长期来看，它会产生严重的反作用。