系统设计 | 微服务权限检查点

文章摘要：权限检查点设计在微服务中的实践

本文讨论了在微服务架构中进行权限检查点设计的重要性及具体实现方式。文章指出，在用户完成认证并获取访问凭证后，验证访问权限的位置需谨慎选择，避免开发人员在不同服务中使用不同的鉴权策略。

微服务鉴权类型

作者提出鉴权设计需要根据实际情况划分不同类型，包括前端的路由、菜单、页面元素和列权限，以及后端的API权限、通用数据权限和个性化操作权限。其中API和通用数据权限可通过全局拦截处理，个性化操作权限则作为业务规则单独处理。权限还能以功能权限的形式体现，这背后是前后端权限的集合。

通用权限检查点设计

在权限检查点设计中，建议拓展RBAC模型，引入“特性”和“资源”的概念，把角色与功能挂钩，而非直接与资源关联。在用户认证上下文包含角色和数据权限清单，这两者应正交关系。同时，需要维护一套包含角色、特性、资源的权限元数据。

前端显示和API过滤器实现

前端显示和API过滤器根据用户认证上下文和权限元数据实现，通过读取用户角色、支持的特性和资源清单，并应用于API过滤、菜单显示和路由守卫。

数据权限设计要点

数据权限应与功能权限分开，通常在服务端实现，并应注意选择合适的数据权限维度和颗粒度。数据权限应保持与角色的正交性，并与分库分表设计相配合，避免滥用，以免影响性能和维护性。

总结

文章最后强调权限检查点设计虽是认证和鉴权的一小部分，却是项目中争议较多的环节。应避免理想化的设计，如用户配置权限元数据，这往往会导致维护难度加大。开发者应控制特性所需的资源，而用户只需关注角色和特性。