系统基于Redis的权限查询系统设计(redis 设计权限查询)


系统基于Redis的权限查询系统设计

权限是现代软件系统中不可或缺的一环,特别是在多用户共享数据和资源的应用程序中更是如此。一旦用户权限出现问题,可能会导致数据泄露、系统瘫痪或者其他的不良后果。因此,设计一个高效、可靠的权限系统非常重要。本文介绍了一个基于Redis的权限查询系统的设计思路。

一、设计思路

在现代软件系统中,权限控制通常包括两个关键步骤:身份验证和授权。身份验证主要是验证用户是否具有访问系统的权限,而授权则是根据用户的权限等级,授予其对系统中不同资源的访问权限。本文的权限查询系统主要实现了授权的功能。

Redis是一个高性能的键值存储系统,支持数据的持久化和数据结构的操作。考虑到权限查询系统需要支持快速查询、添加和删除用户权限,以及快速的访问授权信息,因此我们选择了Redis作为权限查询系统的存储引擎。

为方便起见,我们假设权限查询系统中只有两个资源,即文件和数据库。用户的权限等级也只有两个,分别为普通用户和管理员。在此之上,我们可以扩展该系统的资源类型和权限等级。

二、系统设计

权限查询系统可以分为两个子系统:用户验证子系统和授权管理子系统。用户验证子系统负责验证用户身份,确定其是否允许访问系统;授权管理子系统负责管理用户的授权信息,确保用户具有访问资源的权限。

2.1 用户验证子系统

用户验证子系统需要一个能够验证用户身份的模块,同时还需要一个用户信息存储模块。在本文中,我们使用了Spring Security作为用户验证子系统的验证模块,使用Redis作为用户信息存储模块。Spring Security是一个基于Spring的安全框架,它提供了诸如身份验证、访问控制、单点登录等功能。

我们提供了一个简单的用户信息管理类,这个类负责实现对用户信息的添加、删除和查询,同时还包括了一个查询用户权限等级的方法。

2.2 授权管理子系统

授权管理子系统的主要功能是管理授权信息。授权信息包括:哪些用户被授予了访问特定资源的权限、用户的权限等级、以及授权信息的有效期等。授权系统将授权信息存储在Redis数据库中,并提供了一个API,供其他子系统查询授权信息。

在系统设计中,我们使用了一个Hash数据结构来存储授权信息。Hash是Redis的一种数据结构,相当于一个键-值映射的集合。我们使用用户ID作为Hash的键,授权信息作为键的值。下面是一个示例授权信息:

{
"user_id": "123456",
"resources": [
{"resource_type":"file", "resource_id":"file1"},
{"resource_type":"database", "resource_id":"db1"}
],
"level": "admin",
"expiry": "2022-01-01 00:00:00"
}

每一个授权信息都包括了用户ID、资源类型、资源ID、权限等级和有效期等信息。授权信息的有效期用于控制用户的访问权限,过期的授权信息将被系统自动删除。

为了提高查询效率,我们也使用了Redis的多个Sorted Set来存储授权信息。\Ssorted Set是Redis的一个数据结构,用于存储有序的元素集合。我们使用管理员用户和普通用户分别作为Sorted Set的键,授权信息的有效期和用户ID作为Sorted Set的元素。下面是一个示例授权信息:

admin_users_sorted_set.add("2021-01-01 00:00:00|123456")
normal_users_sorted_set.add("2022-01-01 00:00:00|654321")

以上示例中,admin_users_sorted_set和normal_users_sorted_set分别存储了管理员和普通用户的授权信息。授权信息中的有效期用于Sorted Set的排序。因此,我们可以通过一次查询操作,获取指定时间内的所有用户权限信息。

三、代码实现

以下是系统的核心代码实现:

/**
* 授权管理系统
*/
public class AuthenticationManager {
RedisTemplate template;
// 用户的权限等级
public enum AuthLevel {
ADMIN,
NORMAL
}

/**
* 构造函数,需要传入RedisTemplate实例
*/
public AuthenticationManager(RedisTemplate template) {
this.template = template;
}
/**
* 新增授权
* @param userId 用户ID
* @param resources 资源列表
* @param level 权限等级
* @param expiry 授权信息的有效期
*/
public void addAuthorization(String userId, List resources,
AuthLevel level, String expiry) {
Map authInfo = new HashMap();
authInfo.put("user_id", userId);
authInfo.put("resources", resources);
authInfo.put("level", level.name());
authInfo.put("expiry", expiry);
String hashKey = "auth_info:" + userId;
template.opsForHash().putAll(hashKey, authInfo);
// 添加用户身份到Sorted Set
if (level == AuthLevel.ADMIN) {
template.opsForZSet().add("admin_users", userId, toMillis(expiry));
} else {
template.opsForZSet().add("normal_users", userId, toMillis(expiry));
}
}

/**
* 移除授权信息
* @param userId 用户ID
*/
public void removeAuthorization(String userId) {
template.delete("auth_info:" + userId);
template.opsForZSet().remove("admin_users", userId);
template.opsForZSet().remove("normal_users", userId);
}

/**
* 检查用户是否有访问资源的权限
* @param userId 用户ID
* @param resourceType 资源类型
* @param resourceId 资源ID
* @return 是否有访问权限
*/
public boolean hasAuthorization(String userId, String resourceType, String resourceId) {
// 1. 查询用户权限等级
AuthLevel level = getUserAuthLevel(userId);
if (level == null) {
throw new RuntimeException("User " + userId + " is not authorized!");
}

// 2. 查询用户具有访问权限的资源
Set userResources = getUserResources(userId, level);
// 3. 判断用户是否具有访问指定资源的权限
for (Resource res : userResources) {
if (resourceType.equals(res.getType()) && resourceId.equals(res.getId())) {
return true;
}
}
return false;
}
/**
* 获取用户权限等级
* @param userId 用户ID
* @return 权限等级
*/
public AuthLevel getUserAuthLevel(String userId) {
Map authInfo = template.opsForHash().entries("auth_info:" + userId);
if (authInfo.isEmpty()) {
return null;
}

String levelStr = authInfo.get("level").toString();
return AuthLevel.valueOf(levelStr.toUpperCase());
}

/**
* 获取用户具有访问权限的资源列表
* @param userId 用户ID
* @param level 用户权限等级
* @return 资源列表
*/
private Set getUserResources(String userId, AuthLevel level) {
String sortedSetKey = (level == AuthLevel.ADMIN) ? "admin_users" : "normal_users";
Set set = template.opsForZSet().rangeByScore(sortedSetKey, System.currentTimeMillis(),
Double.POSITIVE_INFINITY);
Set resources = new HashSet();
for (Object obj : set) {
String userId2 = obj.toString();
if (userId.equals(userId2)) {
Map authInfo = template.opsForHash().entries("auth_info:" + userId2);
List resourceList = (List) authInfo.get("resources");
for (Object resObj : resourceList) {
Map resMap = (Map