在前后端分离Web项目中，RBAC实现的研究

最近手头公司的网站项目终于渐渐走出混沌，走上正轨，任务也轻松了一些，终于有时间整理和总结一下之前做的东西。

以往的项目一般使用模板引擎（如ejs）渲染出完整页面，再发送到浏览器展现。但这次项目的处理方式不同，整个项目由前端AngularJS和后端NodeJS进行了前后端的分离。后端Nodejs提供静态文件服务和API接口，前端则通过AJAX请求调用后端的API，已JSON数据包来进行数据交换。

同时，用户权限管理方面，我选用了RBAC（基于角色的访问控制，Role-based access control）最基本的实现来管理（用户表、角色表、权限表、用户-角色关联表、角色-权限关联表）。而当我实际开发这个模块的时候，立刻就意识到和以往项目的区别：

在使用后端模板引擎渲染页面的时候，后端可以根据用户权限有选择地渲染一些受限的页面元素。

而在前后端分离的开发方式下，由于后端并不渲染任何页面，是否显示某个页面元素，完全是由前端来决定的。

对此，我考虑了一种相对简单的方式：

将用户最终所具有的所有权限通过API返回给前端，前端根据权限控制页面元素。

后端本身就知道用户权限，每个API接口的入口处添加权限的检查。

然而，这样的处理方式是有一定局限性的：

后端每个API入口处都必须写一遍检查。

仅仅到权限级别，太过宽泛，无法进行粒度更小的控制。

权限虽然可以通过用户、角色来实现可配置，但是权限与页面元素、API是否允许调用之间却是由代码编写确定，这部分是无法配置的。

这显然不是我能做到的最佳解决方案。

至少对于后端，我想要的是一种更加灵活可配置，并对业务代码透明的权限检查方式。

于是，我在之前解决方案的基础上，做了进一步细化，并将页面元素、API都当作资源来看待。同时，为了前端可以做更加灵活的控制，页面元素进一步抽象成一份Key-Value数据（我称之为页面环境变量ENV），供前端使用。这样，用户经过RBAC模块最终得到的不是权限，而是“允许访问的API列表（支持*和**通配）”和“环境变量”。

于是，我在权限表之后，又增加了：API路径表、ENV环境变量表、及相关关联表。例如：

角色-权限：

角色	权限
用户	基础权限
管理员	管理员基础权限
用户管理员	用户管理员权限
	用户管理员首页

权限-API路径：

权限	API路径	说明
基础权限	/public/**	所有公共资源
	/myAccount/**	个人账户所有操作
用户管理员权限	/manage/users/do/list	后台管理用户列表
	/manage/users/*/do/get	后台管理查看任意用户信息

权限-ENV环境变量：

权限	Key	Value	说明
管理员基础权限	ShowManageBtn	1	显示“管理”按钮
	pageSizeForManage	50	后台管理列表页行数
用户管理员权限	ShowManageUsersBtn	1	后台管理显示“用户”按钮
用户管理员首页	manageHomePageUrl	/main.html#/manage/users	后台管理页面首页地址

其中，用户最终的API路径表用于后端API进行权限的检查。ENV环境变量返回给前端供其控制页面。

具体而言：

后端只要在请求入口（而不是单个API入口）处，对请求的URL路径和上面的“允许访问的API路径列表”进行比对。请求的路径如在列表中，则通过检查，之后的业务逻辑无需再关心权限问题。如不在列表中，则直接返回拒绝请求。

前端则可以直接使用ENV环境变量中的Key-Value来控制页面，

如配合AngularJS的ng-show： <div ng-show="hasEnv('ShowManageBtn')">...</div>

通过使用这种方式，不仅避免了对每个权限进行 if...else 处理，同时，对后续修改及配置提供了相当大的便利。

当然，这种处理方式也有一些注意点（或者说缺点）。

1. API路径设置要合理有规律，方便通配（单个星号通配1层路径、两个星号通配多层路径）

统一路径命名：如管理类接口都由/manage开头，那么在配置时，只需要使用/manage/**即可通配所有的路径（包括：/manage/home、/manage/users/list）。

做好分层规划：如管理类接口可以按功能细分 /manage/users/**、/manage/posts/**

以统一的动词结尾：如只读权限可以配置为/manage/**/do/get，添加权限可以配置为/manage/**/do/add。

处理对象的ID写进路径：如查看用户信息的路径为 /manage/users/1/do/get、/manage/users/2/do/get，可以配置权限为/manage/users/*/do/get

2. 避免粒度过细

过细的粒度会导致API路径以及ENV环境变量数量的暴增。不仅管理起来麻烦，而且也会一定程度上影响权限检查时的效率。

对于API路径的粒度，一定要严格管理API路径格式以及尽量使用通配，详细见上述第1条。

对于ENV环境变量，可以考虑合并一些总是一起出现的内容。如系统只区分读权限和写权限，则添加、编辑、删除按钮的控制就可以合并为一个 {"btnForWrite": 1} 来处理，而不是为每个按钮都添加一个ENV环境变量。甚至可以将Value设置为一个JSON来保存多个值 {"canWrite":{"addBtn":1, "editBtn":1}}

3. 设置不进行RBAC认证的API路径白名单

比如之前例子中的“基础权限”中的 /public/** 这类肯定允许访问的路径，其实是没有必要特地添加一个权限来管理的。

这类API路径应当写到网站配置中，作为不进行RBAC认证的API路径。

4. 对API路径及ENV环境变量列表进行缓存

每个请求都查询数据库来获取API路径列表显然有点浪费资源。可以针对每个用户，将API列表及环境变量保存到Session中，这样只有第一次请求时才会查询数据库，之后的请求在RBAC检查权限时，只需要从Session取回之前缓存的API列表和ENV环境变量即可。但要注意用户权限在改变时，需要及时令Session中的数据失效。

我在项目中的做法是保存进Redis中，并以 cache@rbac#userId:{userId} 为Key进行保存。当用户角色发生变化时，按照 cache@rbac#userId:{userId} 清除当前用户的权限缓存即可；当角色、权限、API路径、ENV环境变量发生变化时，由于不是很好明确到底影响多少用户，所以直接按照 cache@rbac#userId:* 来清除所有用户的权限缓存。

总结：前后端分离的项目中，

1. 后端服务器仅仅暴露API，所以功能级权限管理可以处理为API的访问控制。

2. 前端页面需要从后端服务器获知如何控制页面元素。同时，直接返回控制方式或具体数值可以减少前端 if...else 数量。