后端数据权限控制:如何高效安全地验证用户对数据的访问权限?
构建安全的后台系统,数据访问权限控制至关重要。本文探讨一个常见场景:如何有效验证用户是否具备操作特定数据的权限,并提供更优化的方案。
问题:
数据库中存储的数据关联创建者ID (createUserId)。前端通过接口提交数据ID及用户ID(例如,从JWT header获取)。为确保安全,后端不能直接依赖前端提供的createUserId进行权限校验,因为它可能被篡改。现有方法是在操作前查询数据,比对createUserId与用户ID,一致则允许操作。此方法安全,但效率低,因为每次操作都需要额外查询。
现有方案的不足:
每次更新或删除都需要额外GET请求获取createUserId,增加服务器负担,降低效率。这种先查询后校验的方式冗余且不够高效。
Hive从0.10版本(包含0.10版本)以后可以通过元数据来控制权限,Hive-0.10之前的版本对权限的控制主要是通过Linux的用户和用户组来控制,不能对Hive表的CREATE、SELECT、DROP等操作进行控制,当然Hive基于元数据来控制权限也不是完全安全的,目的就是为了防止用户不小心做了不该做的操作。感兴趣的朋友可以过来看看
0
优化方案:
更优方案是利用后端登录系统的权限管理机制。用户登录成功后,将权限信息存储在ThreadLocal中。ThreadLocal是线程局部变量,每个线程拥有独立副本,避免线程安全问题。
这样,每次数据操作请求到达后端,可以直接从ThreadLocal获取用户权限信息,无需再次查询数据库。后端根据用户权限判断其是否有权操作指定数据。例如,如果用户只能查看自己创建的数据,后端直接检查createUserId与ThreadLocal中用户ID是否一致即可,无需额外数据库查询。
此方法避免冗余的数据库查询,提高系统效率,同时保证数据安全。关键在于登录时完成权限信息的加载和存储,后续操作直接使用,避免重复数据库访问。
以上就是后端数据权限控制:如何高效安全地验证用户对数据的操作权限?的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
760
收藏
