简单权限控制-8421法则

在系统开发过程中,最常见的一个需求就是权限控制了,大到整个系统的用户权限的管理,小到某个状态下操作权限的判断。

其中最常见的操作就是权限的添加、删除、鉴权等,那么有什么简单的方法可以去控制这些权限呢?

前言

在系统开发过程中,最常见的一个需求就是权限控制了,大到整个系统的用户权限的管理,小到某个状态下操作权限的判断。

其中最常见的操作就是权限的添加、删除、鉴权等,那么有什么简单的方法可以去控制这些权限呢?

对于复杂的权限控制可以采用 RBAC 方案,这里向大家推荐一种简单方法,来处理简单的权限控制,涉及二进制8421码以及按位与等知识。

模拟需求

假设要对文章进行权限管理,分为新增、查看、修改三个权限。

方案设计

1、把权限对应的值设置如下

新增 查看 修改
1 2 4

2、用户初始权限 authority 设置为 0,也即authority = 0;
3、赋予权限 a 时,先要判断用户是否已经有此权限,若无,则把 a 对应的值与 authority 相加作为用户的当前权限,也即 authority = authority + a;
4、判断用户是否有某个权限 b 的方法

1
2
3
4
5
6
7
if ( (authority & b) == b){
//有权限b
}
c = a + b;
if ( (authority & c) == c){
//同时有权限a和b
}

5、去除权限 a 时,先要判断用户是否已经有此权限,若有,则把 a 对应的值与 authority 相减作为用户的当前权限,也即 authority = authority - a;

原理

我们知道,在计算机里面数据的底层表示都是二进制数,我们可以通过设定每一位表示不同的权限,用0来表示未拥有此权限,1来表示拥有对应权限。

例如上面例子中3个权限的情况,我们可以用3位的二进制数来表示其权限,如下

权限 二进制值
查看 001(1)
新增 010(2)
修改 100(4)

我们用 000 来表示初始权限(未拥有权限),这样赋予或删除权限的时候只修改了对应位置为1或0,不同权限所处的位置不同,不会互相冲突。

判断权限的时候通过 & 进行

按位与处理两个长度相同的二进制数,两个相应的二进位都为1,该位的结果值才为1,否则为0。

故通过 (authority & b) == b 可以判断是否拥有权限 b 。

BTW,linux 系统也是通过这种方式来进行权限判断的,对于文件的权限的 read/write/execute 分别用4/2/1表示。

灵活性

本方案通过数字来表示权限,故若有新权限加入的时候,只需在文档或注释里标明对应的数值即可,之前的代码或者数据无需修改。

例如上面的例子中,如果要添加一个新的权限-删除,只需设定删除对应的权限为8即可。

可使用的数值列为:
1 2 4 8 16 …. (每一个后续的值为前一个值*2)

拓展

本方案不仅只适用于权限判断,也可以用于叠加状态的判断

例如某条数据需要经过操作A和操作B才能进入下一步,而操作A、B互相独立,无操作顺序要求。

具体如何使用大家可以思考一下。