엔터프라이즈 애플리케이션을 위한 동적 RBAC 시스템 구현

집

Java

java지도 시간

엔터프라이즈 애플리케이션을 위한 동적 RBAC 시스템 구현 - 단순화

王林

Aug 14, 2024 am 11:02 AM

Implementing a Dynamic RBAC System for Enterprise Applications - Simplified

소개

오늘날의 디지털 환경에서는 리소스와 데이터를 보호하기 위해 효과적인 액세스 관리가 매우 중요합니다. RBAC(역할 기반 액세스 제어) 시스템은 사용자 권한 및 역할 관리에 대한 구조화된 접근 방식을 제공합니다. 이 블로그에서는 다양한 애플리케이션 요구 사항에 맞게 조정된 RBAC 시스템의 두 가지 변형인 일반 비즈니스 애플리케이션과 엔터프라이즈 비즈니스 애플리케이션을 간략하게 설명합니다.

개념을 설명하기 위해 서비스 관리 액세스 제어에 대한 데모 코드 조각과 RBAC 시스템에서 사용되는 각 테이블에 대한 자세한 설명을 제공합니다.

RBAC 시스템 구성 요소

일반적인 비즈니스 애플리케이션

가장 일반적인 비즈니스 애플리케이션의 경우 RBAC 시스템을 간소화하여 추가적인 복잡성 없이 역할과 권한을 효과적으로 관리할 수 있습니다. 주요 구성 요소는 다음과 같습니다.

사용자 테이블
- 목적: 사용자 이름, 비밀번호 해시, 이메일, 허가 수준 등의 사용자 정보를 저장합니다.
- 키 열: user_id, 사용자 이름, 비밀번호_해시, 이메일, 부서, 정리_수준
역할 테이블
- 목적: 애플리케이션 내에서 역할을 정의하고 각 역할의 이름과 설명을 자세히 설명합니다.
- 주요 열: role_id, role_name, 설명
모듈 테이블
- 목적: 애플리케이션 모듈이나 리소스를 나열하고 해당 목적과 기능을 설명합니다.
- 키 열: 모듈_ID, 모듈_이름, 설명
모듈_권한 테이블
- 목적: 읽기 또는 쓰기 액세스 등 각 모듈과 관련된 권한을 지정합니다.
- 키 열: 모듈_허가_ID, 모듈_ID, 허가_유형
역할_권한 테이블
- 목적: 역할을 모듈 권한에 매핑하여 역할이 모듈에서 수행할 수 있는 작업을 결정합니다.
- 주요 열: role_permission_id, role_id, module_permission_id
사용자_역할 테이블
- 목적: 사용자와 역할 간의 관계를 관리하여 역할 기반 액세스 제어를 활성화합니다.
- 키 열: user_role_id, user_id, role_id

엔터프라이즈 비즈니스 애플리케이션

엔터프라이즈 비즈니스 애플리케이션에는 보다 복잡한 액세스 제어 요구 사항을 처리하기 위해 추가 구성 요소가 필요할 수 있습니다. 여기에는 다음이 포함됩니다.

정책표
- 목적: 추가 액세스 규칙 및 조건을 정의하여 보다 세부적인 제어를 제공합니다.
- 키 열: 정책_ID, 정책_이름, 설명
역할_정책 테이블
- 목적: 역할을 정책에 연결하여 역할이 특정 규칙 및 조건에 따라 관리되도록 합니다.
- 키 열: role_policy_id, role_id,policy_id
User_Policy 테이블
- 목적: 개별 권한을 수용하여 사용자에게 직접 정책을 할당합니다.
- 키 열: user_policy_id, user_id,policy_id
정책_조건표
- 목적: 상황별 또는 속성 기반 제약 조건과 같은 정책 조건을 지정합니다.
- 키 열: 정책_조건_ID, 정책_ID, 조건_유형, 조건_값
컨텍스트_권한 테이블
- 목적: 사용자 부서, 위치 등 특정 상황에 따라 정책을 적용합니다.
- 키 열: contextual_permission_id,policy_id, context_type, context_value
Temporal_Constraint 테이블
- 목적: 정책 효과를 위해 시작 및 종료 시간을 정의하여 시간 기반 액세스를 관리합니다.
- 키 열: temporary_constraint_id,policy_id, start_time, end_time
위임 테이블
- 목적: 사용자가 지정된 만료 날짜를 사용하여 역할을 위임할 수 있도록 임시 역할 할당을 용이하게 합니다.
- 키 열: delegation_id, Delegation_user_id, delegator_user_id, role_id, 위임_at, 만료_날짜
감사_로그 테이블
- 목적: 보안 및 규정 준수 감사를 위해 사용자 작업, 모듈 상호 작용, 역할 변경을 기록합니다.
- 키 열: audit_log_id, user_id, action, module_id, role_id, timestamp, 세부정보

데모 코드: 액세스 제어 서비스

다음은 동적 RBAC 시스템에서 액세스 제어를 관리하는 방법을 보여주는 Java의 AccessControlService 구현 샘플입니다. 이 예에서는 필수 구성 요소를 다루고 권한 및 정책을 처리하는 방법을 보여줍니다.

import java.time.LocalDateTime;
import java.util.List;

@Service
@Transactional
public class AccessControlService {

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private RoleRepository roleRepository;

    @Autowired
    private ModulePermissionRepository modulePermissionRepository;

    @Autowired
    private RolePermissionRepository rolePermissionRepository;

    @Autowired
    private UserRoleRepository userRoleRepository;

    @Autowired
    private PolicyRepository policyRepository;

    @Autowired
    private UserPolicyRepository userPolicyRepository;

    @Autowired
    private RolePolicyRepository rolePolicyRepository;

    @Autowired
    private PolicyConditionRepository policyConditionRepository;

    @Autowired
    private ContextualPermissionRepository contextualPermissionRepository;

    @Autowired
    private TemporalConstraintRepository temporalConstraintRepository;

    @Autowired
    private DelegationRepository delegationRepository;

    public boolean hasAccess(String username, Long moduleId, String permissionType) {
        // Fetch user
        User user = userRepository.findByUsername(username);
        if (user == null) {
            return false;
        }

        // Check if user has any delegations
        boolean hasDelegatedAccess = checkDelegatedAccess(user.getUserId(), moduleId, permissionType);
        if (hasDelegatedAccess) {
            return true;
        }

        // Check if user has direct access via roles
        List<UserRole> userRoles = userRoleRepository.findByUserId(user.getUserId());
        for (UserRole userRole : userRoles) {
            List<RolePermission> rolePermissions = rolePermissionRepository.findByRoleId(userRole.getRoleId());
            for (RolePermission rolePermission : rolePermissions) {
                ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
                if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
                    // Check if role has any associated policies
                    if (hasPolicyAccess(user.getUserId(), moduleId, permissionType, modulePermission.getModuleId())) {
                        return true;
                    }
                }
            }
        }

        return false;
    }

    private boolean checkDelegatedAccess(Long userId, Long moduleId, String permissionType) {
        List<Delegation> delegations = delegationRepository.findByDelegateUserId(userId);
        LocalDateTime now = LocalDateTime.now();
        for (Delegation delegation : delegations) {
            // Check if delegation is expired
            if (delegation.getExpirationDate() != null && delegation.getExpirationDate().isBefore(now)) {
                continue;
            }

            List<RolePermission> rolePermissions = rolePermissionRepository.findByRoleId(delegation.getRoleId());
            for (RolePermission rolePermission : rolePermissions) {
                ModulePermission modulePermission = modulePermissionRepository.findById(rolePermission.getModulePermissionId()).orElse(null);
                if (modulePermission != null && modulePermission.getModuleId().equals(moduleId) && modulePermission.getPermissionType().equals(permissionType)) {
                    return true;
                }
            }
        }
        return false;
    }

    private boolean hasPolicyAccess(Long userId, Long moduleId, String permissionType, Long modulePermissionId) {
        // Check policies assigned directly to the user
        List<UserPolicy> userPolicies = userPolicyRepository.findByUserId(userId);
        for (UserPolicy userPolicy : userPolicies) {
            if (isPolicyValid(userPolicy.getPolicyId(), moduleId, permissionType)) {
                return true;
            }
        }

        // Check policies assigned to roles
        List<UserRole> userRoles = userRoleRepository.findByUserId(userId);
        for (UserRole userRole : userRoles) {
            List<RolePolicy> rolePolicies = rolePolicyRepository.findByRoleId(userRole.getRoleId());
            for (RolePolicy rolePolicy : rolePolicies) {
                if (isPolicyValid(rolePolicy.getPolicyId(), moduleId, permissionType)) {
                    return true;
                }
            }
        }

        return false;
    }

    private boolean isPolicyValid(Long policyId, Long moduleId, String permissionType) {
        // Check policy conditions
        List<PolicyCondition> conditions = policyConditionRepository.findByPolicyId(policyId);
        for (PolicyCondition condition : conditions) {
            // Add logic to evaluate conditions based on conditionType and conditionValue
            // e.g., Check if context or attribute matches the condition
        }

        // Check contextual permissions
        List<ContextualPermission> contextualPermissions = contextualPermissionRepository.findByPolicyId(policyId);
        for (ContextualPermission contextualPermission : contextualPermissions) {
            // Add logic to evaluate contextual permissions
            // e.g., Check if current context matches the contextualPermission
        }

        // Check temporal constraints
        List<TemporalConstraint> temporalConstraints = temporalConstraintRepository.findByPolicyId(policyId);
        for (TemporalConstraint temporalConstraint : temporalConstraints) {
            LocalDateTime now = LocalDateTime.now();
            if (now.isBefore(temporalConstraint.getStartTime()) || now.isAfter(temporalConstraint.getEndTime())) {
                return false;
            }
        }

        return true;
    }
}

로그인 후 복사