跨组织/跨租户权限怎么设计:隔离/共享/委托(附SaaS权限模板)
前言
多租户是SaaS系统的核心特性。很多SaaS系统的数据泄露都是因为租户隔离没做好。这篇给你多租户权限的3种策略+完整设计方法。
一、3种多租户策略
| 策略 | 特点 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|---|
| 完全隔离 | 每个租户独立数据库 | 高安全要求 | 安全性高 | 成本高 |
| 共享隔离 | 共享数据库,tenant_id隔离 | 通用SaaS | 成本低 | 需严格校验 |
| 混合模式 | 核心数据隔离,其他共享 | 平衡安全与成本 | 灵活 | 复杂度高 |
二、共享隔离模式(推荐)
核心原则
- 所有数据表必须有tenant_id字段
- 所有查询必须带WHERE tenant_id = 当前租户ID
- 跨租户访问返回403
实现步骤
步骤1:数据表设计
所有业务表必须包含tenant_id字段,并建立索引。
订单表(orders)示例: CREATE TABLE orders ( id BIGINT PRIMARY KEY AUTO_INCREMENT, tenant_id BIGINT NOT NULL COMMENT '租户ID', user_id BIGINT NOT NULL COMMENT '用户ID', order_no VARCHAR(32) NOT NULL COMMENT '订单号', amount DECIMAL(10,2) NOT NULL COMMENT '订单金额', status VARCHAR(20) NOT NULL COMMENT '订单状态', created_at DATETIME NOT NULL, INDEX idx_tenant_id (tenant_id), INDEX idx_tenant_user (tenant_id, user_id) ) COMMENT='订单表'; 注意: - tenant_id必须NOT NULL - 在tenant_id上建立索引,提高查询性能 - 联合索引(tenant_id, user_id)支持按租户和用户查询步骤2:租户ID获取
从用户登录信息中获取tenant_id,不能从请求参数中获取。
伪代码示例: // 从JWT Token中获取租户ID function getTenantId(request) { const token = request.headers.authorization; const decoded = jwt.decode(token); return decoded.tenant_id; // 从token中获取,不能从参数获取 } // 从Session中获取租户ID function getTenantIdFromSession(request) { return request.session.user.tenant_id; // 从session中获取 }步骤3:查询自动过滤
在数据访问层统一添加tenant_id过滤条件。
伪代码示例: // 数据访问层统一处理 function getOrders(user, filters) { let query = "SELECT * FROM orders"; let where = []; // 自动添加tenant_id过滤 where.push("tenant_id = " + user.tenant_id); // 添加其他过滤条件 if (filters.status) { where.push("status = '" + filters.status + "'"); } if (where.length > 0) { query += " WHERE " + where.join(" AND "); } return executeQuery(query); } // 平台管理员特殊处理 function getOrdersForAdmin(admin, filters) { let query = "SELECT * FROM orders"; let where = []; // 平台管理员不添加tenant_id过滤,但可以指定租户 if (filters.tenant_id) { where.push("tenant_id = " + filters.tenant_id); } if (where.length > 0) { query += " WHERE " + where.join(" AND "); } return executeQuery(query); }步骤4:跨租户访问校验
在接口层校验数据归属,防止跨租户访问。
伪代码示例: // 接口层校验 app.get('/api/orders/:id', async (req, res) => { const order = await getOrderById(req.params.id); const userTenantId = req.user.tenant_id; // 校验租户归属 if (order.tenant_id !== userTenantId && req.use