为了账号安全,请及时绑定邮箱和手机立即绑定

mysql中基于用户权限的行过滤

mysql中基于用户权限的行过滤

Go
陪伴而非守候 2023-08-14 14:48:11
我目前正在设计一个贷款管理系统,该系统将在一家拥有独立分支机构和总部的全岛公司中实施。该系统的主要用户是恢复人员、分行经理、区域经理和总部工作人员。我需要一种方法,当每个用户登录系统时,他们只能看到与他们相关的数据。例如,追收人员只能访问与他们相关的贷款,分行经理只能看到他们的分行贷款,总部人员可以看到所有贷款等。最初我提出了以下设计。loan-------------------id PKcapitalinterest......recovery_officer_id FKbranch_id FKregion_id FK由于每笔贷款都有相关的recovery_officer_id、branch_id、region_id列来过滤数据。我决定创建一个带有过滤器的表filter-----------user_id FKcolumn_namevalue因此,在代码中,我可以将相关的列名称值附加到WHERE子句以过滤结果。对于总部用户,由于没有过滤器,我可以忽略添加WHERE子句。但我觉得每次都附加一个可变长度的WHERE子句将是一项乏味的任务。此外,如果查询当前有一个 WHERE 子句,我应该编写一个通用代码,将过滤器子句附加到它上面。因此必须有更好的方法来实现这一点。我使用 MySQL 作为我的数据库,并使用 Go 作为我的服务器端语言。任何设计理念都受到高度赞赏。
查看完整描述

1 回答

?
鸿蒙传说

TA贡献1865条经验 获得超7个赞

计划 A(首选):将检查构建到连接用户和数据库的应用程序代码中。也就是说,没有人直接登录数据库。

我更喜欢从头开始构建 WHERE 子句。编辑现有的 WHERE 会变得很棘手。想象一下以 OR 子句结尾,然后加上 AND 子句的混乱情况。精明的用户可能会说

SELECT ... FROM ... WHERE 1 OR 2;

然后你加上这样的东西:

SELECT ... FROM ... WHERE 1 OR 2 AND role = 'clerk';

你猜怎么着——店员可以看到一切。

B 计划:大量的视图和列级权限,以防止个人看到不应该看到的东西。


查看完整回答
反对 回复 2023-08-14
  • 1 回答
  • 0 关注
  • 93 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信