İlişki türü hakkında sorum

kurt_adam_osman

Arkadaşlar merhaba.

Diyelim bir sürü User var ve herbiri Role tablosunda bulunan 3 tane Role'den birini ya da bir kaçını alabilir.
İlişki türü N-1 mi olur? User (n) <---> (1) Role şeklinde mi uygun olur?

kurt_adam_osman

Yani arkadaşlar her USER için farklı birçok role yerine şöyle olması daha uygun olur yani;
user_role
userID 1, roleID 1
userID 2, roleID 3
userID 3, roleID 1
userID 4, role ID 1
userID 5, roleID 2
userID 6, roleID 1

Belki bir user bir kaçtane rol alabilir ama tek olsa da olur. Her user'in bir tane rolü

KerimCETINBAS

Bir user bircok role sahip olabilir, bir rol ise birden fazla usere sahip olabilir. Bu durumda ilişki turu N_N oluyor. Bu durumu kurgulaya bilmen için junction tablosuna ihtiyacın var bu tablo her iki tablo ile N₁ ilişki durumunda olması gerekiyor bu şekilde dolaylı yoldan iki tablo N_N olarak ilişkilendirilebilir.

Edit 2. yorumu daha yeni gördüm

user ve role arasında N_N ilişkisi olması daha mantıklı geldi. Sonuçta sisteme yeni roller eklenip çıkarılabilir. Kullanıcıya yeni roller atanıp geri alınabilir. Userin istenilen rollere sahip olup olmadığına bakılabilir. Yada o rola sahip olan bütün userler getirilebilir.

Ama uygulama bazında sorun oluşturabilir. Eğer roller bir takım yetkilere veya poliçelere sahipse. Aynı özelliklere sahip rollerin nasıl bir birine üstün gelebileceğini filan tasarlaman lazım.

Mesela; PR ve Moderation rolün var ikisininde sistemden kullanıcı silme yetkisi var diyelim. Bunlar bir birini nasıl silebilir. Hangi rol daha ağır vs...

kurt_adam_osman

KerimCETINBAS

Hocam N-N, dediğinize göre daha mantıklı geldi.

Mesela bir API'ye hem USER, hem ADMIN erişebilir
Ya da bir API'ye sadece ADMIN, MOD erişibelir ya da sadece mod erişebilir. Böyle bir yapıda olsa güzel olur yani.

Her bir USER'in tek mi yoksa birçok rolü mü olmalı ondan emin değilim. Projeye göre değişiklik gösterir ama hangisi daha iyise onu yapmak isterim.

KerimCETINBAS

kurt_adam_osman

Security Context'i permission bazlı hazırlarsanız sisteme her yeni rol eklendiğinde uygulamayı tekrar tekrar build alip deploy etmek zorunda kalmazsınız. Kullanıcı birden fazla role sahipse rollerdeki butün permleri tek bir flat map'e düşürüp o permlerin olup olmadığının kontrolünü yapabilirsiniz.

permissionlar flag, enum yada bir unsigned collection olabilir. Dikkat etmen gereken yer her perm bir önceki permin 2.kuvveti ve Bunlari binary olarak düşün.

    None  = 0,     // 00000  
    A     = 1,     // 00001
    B     = 2,     // 00010
    C     = 4,     // 00100
    D     = 8,     // 01000
    E     = 16,    // 10000
    All   = ~None  // 11111

Her bir perm aynı zamanda bir öncekine göre 1 basamak kaymış hali 😃 Collection illa 256 bitten oluşmak zorunda değil cok daha uzun bit dizesi olabilir

All ise None'daki bitlerin tersine çevrilmiş hali (~00000) yani 11111

| or veya & operatörü ile istenilen permlerin bir kaçının yada hepsinin olup olmadığı kontrol edilebilir.

https://www.geeksforgeeks.org/bitwise-operators-in-java/

ustteki linkteki örnekten gidiyorum

Ben uygulamamda bir resource erişilebilmesi için B yada C permlerinden en az birini istiyorum. Bitwise Or operatörü ile kontrol edebilirim

B = 00010 = tam sayi olarak 2 | C = 00101 = tam sayı olarak 5

sonuc 00111 = tam sayi olarak 7 oluyor.

00111( istenilen permlerin toplanmış hali) ^ 00101(bende olan perm) >= 0 // true
00111 ^ (00101 | 00010) >= 0 // true
00111 ^ 010001 >= 0 // false
seklinde kontrol edebilirim

B yada C permlerinin 2 sini birden istiyorum bu sefer & operatoru kullanılabilir

perm = 00101 = 5 & 00111 = 7
perm = 00010 = 2
perm ^ 00101 == 0 // false

kendi projemde c# ile kullandığım örnek. İşinize yarar mı bilmiyorum
https://github.com/stellayazilim/lunaloot/blob/main/LunaLoot.Master.Contracts/Common/Identity/PermissionAuthorizationHandler.cs

kurt_adam_osman

KerimCETINBAS

Spring Security yaparken, Security Filter Chain'den geçiyor ve authenticate nesnesi lazım. O da user bilgileri içeriyor. Rol'de dahil.

Sonra o nesne bu filtreden geçiyor;
`public SecurityFilterChain filterChain(HttpSecurity security) throws Exception{

	security
			.headers(x -> {
				x.frameOptions(HeadersConfigurer.FrameOptionsConfig::disable);
			})
			.csrf(AbstractHttpConfigurer::disable)
			.formLogin(AbstractHttpConfigurer::disable)
			.authorizeHttpRequests(x ->
			{
				x.requestMatchers(HttpMethod.POST, "/api/user").permitAll();
				x.requestMatchers("/private/**", "/auth").hasRole("USER");
				x.anyRequest().authenticated();
			})
			.httpBasic(Customizer.withDefaults());


	return  security.build();

}

Tabii API endpointlerin üstündede tanımlıyorsun böyle;
@PreAuthorize("hasRole('USER')") @GetMapping("/user") public String helloUser(){ return "hello USER"; }

Senin dediğin kısım güzel ama nasıl uyarlayabilirim? Bilemedim.
Doğrulama bilgilerini gerek Token, gerek AUTH ile istek atarken alır. VT ile eşler.
Authenticate nesnesi oluşurken, Doğrulama geçerliyse içinde User bilgileri olan UserDetails türünde bir sınıf örneği alıp, UsernamePasswordAuthenticationToken nesnesi oluşturuyor. UsernamePasswordAuthentication'da Authenticate nesnesidir.

Yani gittikçe gidiyor bu nesneler.