基于RBAC的通用权限平台设计与实现

1. 项目背景与核心价值

在当今企业级应用开发中，权限管理始终是绕不开的核心模块。我见过太多项目因为初期权限设计不合理，导致后期迭代时陷入"打补丁"循环。这个基于RBAC模型的通用权限平台，正是为了解决这个痛点而生。

采用前后端分离架构（.NET后端+Vue前端），我们实现了开箱即用的权限管理体系。开发者接入后，只需简单配置就能获得完整的用户-角色-权限控制能力，不再需要重复造轮子。实测在中小型系统中，接入时间可从原来的3-5人天压缩到2小时内完成。

2. 技术架构解析

2.1 整体架构设计

code复制[前端] Vue3 + TypeScript + Element Plus
       ↓ HTTP API
[网关] JWT鉴权 + 权限过滤
       ↓ 
[后端] .NET 6 WebAPI 
       ↓ 
[持久层] EF Core + MySQL/PostgreSQL

这套技术栈的选择经过充分考量：

• Vue3的组合式API更适合复杂权限组件的封装
• .NET 6的Minimal API简化了权限校验中间件开发
• EF Core的LINQ查询能优雅实现动态权限过滤

2.2 RBAC模型实现

采用标准RBAC0模型，包含四个核心实体：

1. 用户(User) - 系统的实际操作者
2. 角色(Role) - 权限的集合载体
3. 权限(Permission) - 系统资源的最小控制单元
4. 菜单(Menu) - 前端路由的权限载体

通过角色关联实现权限继承，避免给用户直接分配权限带来的维护噩梦。我们在数据库设计上做了优化：

sql复制CREATE TABLE RolePermission (
    RoleId INT NOT NULL,
    PermissionId INT NOT NULL,
    GrantType TINYINT DEFAULT 1 -- 1:允许 0:拒绝
    PRIMARY KEY (RoleId, PermissionId)
);

3. 核心功能实现

3.1 动态路由控制

前端通过router.beforeEach实现路由守卫，关键代码：

typescript复制const routes = await getAsyncRoutes() // 获取当前用户有权访问的路由
routes.forEach(route => {
  router.addRoute('Layout', {
    path: route.path,
    component: () => import(`@/views/${route.component}.vue`),
    meta: { requiresAuth: true }
  })
})

重要提示：动态导入的组件路径需要与后端返回的component字段严格匹配，建议建立路由组件白名单

3.2 按钮级权限控制

通过自定义指令v-permission实现：

javascript复制app.directive('permission', {
  mounted(el, binding) {
    if (!store.state.user.permissions.includes(binding.value)) {
      el.parentNode?.removeChild(el)
    }
  }
})

使用示例：

html复制<button v-permission="'user:delete'">删除用户</button>

3.3 后端权限校验

.NET中间件实现权限过滤：

csharp复制app.Use(async (context, next) => {
    var endpoint = context.GetEndpoint();
    var attribute = endpoint?.Metadata.GetMetadata<PermissionAttribute>();
    
    if (attribute != null && !context.User.HasClaim("permission", attribute.Name)) {
        context.Response.StatusCode = 403;
        return;
    }
    await next();
});

配合特性标注使用：

csharp复制[HttpGet("users"), Permission("user:list")]
public IActionResult GetUsers() { ... }

4. 部署与集成指南

4.1 快速启动步骤

1. 数据库初始化：

bash复制dotnet ef database update --project src/Permission.Core

2. 前端依赖安装：

bash复制cd frontend && pnpm install

3. 启动开发环境：

bash复制# 后端
dotnet watch run --project src/Permission.Api

# 前端
pnpm dev

4.2 现有系统集成方案

后端集成：

1. 安装NuGet包：

bash复制dotnet add package Permission.Core

2. 在Startup中配置：

csharp复制services.AddPermissionManagement(options => {
    options.DbContextType = typeof(YourDbContext);
});

前端集成：

1. 安装权限插件：

bash复制pnpm add @permission/utils

2. 在main.ts中初始化：

typescript复制import { setupPermission } from '@permission/utils'

app.use(setupPermission({
    api: '/api/permission'
}))

5. 实战经验与避坑指南

5.1 性能优化要点

1. 权限缓存策略：

csharp复制services.AddMemoryCache();
services.Decorate<IPermissionService, CachedPermissionService>();

2. 批量权限检查接口：

csharp复制[HttpPost("permissions/check")]
public ActionResult<Dictionary<string,bool>> CheckPermissions([FromBody] string[] codes)
{
    return codes.ToDictionary(x => x, x => User.HasClaim("permission", x));
}

5.2 常见问题排查

问题1：新增权限后未生效

• 检查Redis缓存是否过期（默认30分钟）
• 确认用户已重新登录获取新token

问题2：前端路由闪烁

• 确保在获取异步路由完成前显示loading状态
• 使用路由过渡动画提升体验

问题3：权限越界访问

• 后端必须进行二次校验
• 敏感操作建议增加操作日志审计

5.3 扩展建议

1. 数据权限扩展：

csharp复制public interface IDataPermissionFilter
{
    IQueryable<T> Apply<T>(IQueryable<T> query);
}

2. 多租户支持：

• 在Role表增加TenantId字段
• 查询时自动附加租户条件

这套系统在我们团队已稳定运行3年，支撑了20+个内部系统的权限管理。最关键的体会是：权限系统要"够用就好"，过度设计反而会成为负担。建议先实现核心RBAC，再根据实际需求逐步扩展。