授权：根据用户授权过滤数据

Question

我们需要实现如下授权规则。

如果用户是超级管理员，则向他提供所有客户信息。比如订单信息。 如果用户是客户管理员，则只提供他自己的客户信息。等等。

我们计划在 DAO 层实施过滤。

对于创建通用设计来处理这种情况有什么建议？假设我们的应用程序已经有一个用于 RBAC（基于角色的授权控制）的数据库模型。我们对任何 DAO 技术开放，例如 JPA 或 iBATIS 或原生查询等。

高级验收标准是授权策略应该是可配置的，并且可以在运行时更改。 示例：如果客户管理员可以看到自己的数据，那么以后可以更改规则以允许他们看到自己和朋友的数据。

我们评估了 XACML 之类的授权策略，但由于其复杂性，我们不喜欢实施它。我们正计划编写一个本土解决方案。任何建议，欢迎。

Answer 1

您在答案中写道，您查看了 XACML 并没有实现它。您应该做的是从供应商或开源替代品中选择现成的 XACML。您会在 WSO2（开源）或 Axiomatics（供应商）等任一类别中找到大量内容。

XACML 是细粒度的基于属性的访问控制的分解标准（请参阅 NIST 的 page 关于该主题）。它已有 10 年历史，背后有 IBM、微软、甲骨文、Axiomatics 和美国银行等公司支持。恕我直言，我非常怀疑本土解决方案是否可行。

您正在寻找在 DAO 层进行过滤。看起来您可以使用Data Access Filter。它是基于 XACML 的，您不需要实现任何特定的东西（阅读：开发人员的工作量非常低）。

我不能强迫您采取这样或那样的方式，但我会认真考虑采用基于标准的方式。任何其他方式在短期内听起来都是个好主意，但从中长期来看，它会严重反击。