我们需要实现如下授权规则。
如果用户是超级管理员,则向他提供所有客户信息。比如订单信息。如果用户是客户管理员,则只提供他自己的客户信息。等等。
我们计划在 DAO 层实现过滤。
对于创建通用设计来处理这种情况有什么建议?假设我们的应用程序已经有一个用于 RBAC(基于角色的授权控制)的数据库模型。我们对任何 DAO 技术开放,例如 JPA 或 iBATIS 或原生查询等。
高级验收标准是授权策略应该是可配置的,并且可以在运行时更改。示例:如果客户管理员可以查看自己的数据,那么以后可以更改规则以允许他们查看自己和朋友的数据。
我们评估了 XACML 之类的授权策略,由于其复杂性,我们不喜欢实施它。我们正计划编写一个本土解决方案。任何建议,欢迎。
您在答案中写道,您查看了 XACML 并没有实现它。您应该做的是从供应商或开源替代品中选择现成的 XACML。您会在 WSO2(开源)或 Axiomatics(供应商)等任一类别中找到大量内容。
XACML是细粒度的基于属性的访问控制的分解标准(请参阅 NIST关于该主题的页面)。它已有 10 年历史,背后有 IBM、微软、甲骨文、Axiomatics 和美国银行等公司支持。恕我直言,我非常怀疑本土解决方案是否可行。
您正在寻找在 DAO 层进行过滤。看起来您可以使用Data Access Filter。它是基于 XACML 的,您不需要实现任何特定的东西(阅读:开发人员的工作量非常低)。
我不能强迫你走这样或那样的道路,但我会认真考虑基于标准。任何其他方式在短期内听起来都是个好主意,但从中长期来看,它会严重反击。