数据权限
约 355 字大约 1 分钟
数据权限是为了给数据添加权限而建立的,我们最常见的实现方案是仅本人数据,本部门数据... 这些就是所谓的数据权限,你可以控制不同的角色拥有不同的数据权限,从而实现用户和数据的隔离
常见方案
警告
fba 已删除此集成方式,此代码仅作为示例保留
def filter_data_permission(request_user: GetUserInfoWithRelationDetail, model: Any) -> ColumnElement[bool]:
"""
过滤数据权限,控制用户可见数据范围
:param request_user: 请求用户
:param model: 需要进行数据过滤的 sqlalchemy 模型
:return:
"""
# 超级管理员可查看所有数据
if request_user.is_superuser:
return or_(1 == 1)
# 无角色只能查看自己数据
if not request_user.roles:
return or_(getattr(model, 'created_by') == request_user.id if hasattr(model, 'created_by') else 1 == 0)
data_scope = min(role.data_scope for role in request_user.roles if role.status == 1)
user_dept_id = user.dept_id
# 全部数据权限
if data_scope == 0:
return or_(1 == 1)
# 自定义数据权限
elif data_scope == 1:
dept_ids = select(role_dept.c.dept_id).where(
role_dept.c.role_id.in_(role.id for role in request_user.roles if role.status == 1)
)
return or_(getattr(model, 'dept_id').in_(dept_ids) if hasattr(model, 'dept_id') else 1 == 0)
# 部门及以下数据权限
elif data_scope == 2:
child_dept_ids = select(Dept.id).where(or_(Dept.id == user_dept_id, Dept.parent_id == user_dept_id))
return or_(getattr(model, 'dept_id').in_(child_dept_ids) if hasattr(model, 'dept_id') else 1 == 0)
# 本部门数据权限
elif data_scope == 3:
return or_(getattr(model, 'dept_id') == user_dept_id if hasattr(model, 'dept_id') else 1 == 0)
# 仅本人数据权限
elif data_scope == 4:
return or_(getattr(model, 'created_by') == request_user.id if hasattr(model, 'created_by') else 1 == 0)
# 默认
else:
return or_(1 == 0)弊端
我们常见的这种数据权限,在大多数情况下,也能够满足日常场景所需,但是,这种方式存在严重的弊端。由于数据权限的数据过滤是通过 SQL 语句拼接进行实现的,而这些固定权限,直接写死了数据权限的要求
例如:业务表必须包含 dept_id 和 created_by 字段,如果业务表没有这些字段,你就无法通过 SQL 来控制数据权限
内置方案
有没有一种更加灵活的方案呢,答案是,当然有,目前,我们在 fba 中实现的正是超灵活方案,但相比于常见方案来讲,配置会更加复杂
你可以直接查看代码源文件 backend/common/security/permission.py ,它与常规方案使用近乎相同的方式实现数据过滤,但由于其复杂性,下面,我们将通过视频进行讲解: