以下内容面向具备 TypeScript 与 NestJS 实战经验的团队,目标是在单库 PostgreSQL 上构建一个可扩展的多租户 RBAC 权限系统,并通过“文生代码”生成实体模型、仓储、鉴权中间件、控制器、OpenAPI 合约与单元测试模板。将给出三种策略评估方案的最佳实践与取舍:NestJS Guards + CASL、自研策略引擎、OPA sidecar。并结合性能、审计、部署与 CI/CD、可维护性等约束给出完整指导与代码骨架。
一、总体架构与关键决策
- 多租户隔离:单库 PostgreSQL + 强制 tenant_id 列,配合 Postgres Row Level Security(RLS),在每次请求事务中设置会话变量 app.tenant_id 以实现服务端强约束,同时应用层所有查询必须携带 tenant_id。
- 授权模型:RBAC+ABAC 混合。RBAC 用于角色/权限基本框架;ABAC/策略用于细粒度条件(资源属性、标签、所有者、时间窗口等)。
- 资源层级:采用 Resource + ResourceClosure(祖先-后代闭包表)支持层级授权与作用域继承;闭包表在读路径性能优于递归查询,易于索引与缓存。
- 策略评估:按路由进行授权检查,评估顺序:Deny 优先 > Allow,其次角色绑定与策略;为提升性能,缓存“用户在租户下的有效权限”与“资源层级权限”。
- 审计:应用层审计日志 + 数据库触发器双通道。触发器记录 before/after JSONB;应用层记录请求、主体、IP、UA、请求ID,以及策略评估结果。
- 身份认证:JWT(短 TTL)+ Refresh Token;并发登录峰值 2 万需水平扩展与连接池优化。建议引入 pgbouncer 与 Redis(可选)做共享缓存与速率限制。
- 性能目标:响应 P99 < 200ms。关键路径控制在 1-2 次数据库查询;策略评估尽量在内存完成;RLS 不增加应用层过滤复杂度;确保索引与缓存。
- 部署与发布:容器化,CI/CD,支持蓝绿/灰度。数据库迁移采用 expand-contract 模式,避免破坏性发布。
- 可读性与维护:生成代码模板可读可维护,严格 ESLint + Prettier,单元/集成测试覆盖策略评估与隔离边界。
二、Prisma 数据模型(关键表与索引示例)
说明:以下为核心模型骨架,实际项目可按资源域扩展。支持租户隔离、资源层级、角色绑定、策略与审计。
// prisma/schema.prisma
datasource db {
provider = "postgresql"
url = env("DATABASE_URL")
}
generator client {
provider = "prisma-client-js"
}
enum Action {
READ
CREATE
UPDATE
DELETE
MANAGE // 管理(分配、授权)
}
enum Effect {
ALLOW
DENY
}
enum SubjectType {
ROLE
USER
}
enum ResourceType {
TENANT
PROJECT
DATASET
RECORD
}
model Tenant {
id String @id @default(uuid())
name String
createdAt DateTime @default(now())
users UserTenant[]
roles Role[]
resources Resource[]
policies Policy[]
roleBindings RoleBinding[]
}
model User {
id String @id @default(uuid())
email String @unique
displayName String?
createdAt DateTime @default(now())
memberships UserTenant[]
roleBindings RoleBinding[]
auditLogs AuditLog[] @relation("ActorAuditLog")
}
model UserTenant {
id String @id @default(uuid())
userId String
tenantId String
status String // active, suspended
roles RoleBinding[]
@@index([tenantId, userId], name: "idx_user_tenant_unique", type: BTree)
@@unique([tenantId, userId])
user User @relation(fields: [userId], references: [id], onDelete: Cascade)
tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)
}
model Role {
id String @id @default(uuid())
tenantId String? // null 代表系统级角色(全局)
name String
description String?
isSystem Boolean @default(false)
createdAt DateTime @default(now())
tenant Tenant? @relation(fields: [tenantId], references: [id], onDelete: SetNull)
policies Policy[] // 可选:角色直接关联策略
bindings RoleBinding[]
@@unique([tenantId, name])
@@index([tenantId])
}
model Resource {
id String @id @default(uuid())
tenantId String
type ResourceType
parentId String? // 层级父节点
path String // 材料化路径(如 /project/{id}/dataset/{id}/record/{id})
createdAt DateTime @default(now())
tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)
parent Resource? @relation("ParentChild", fields: [parentId], references: [id])
children Resource[] @relation("ParentChild")
closures ResourceClosure[] @relation("ResourceClosureDesc", references: [descendantId])
@@index([tenantId, type])
@@index([tenantId, path])
}
model ResourceClosure {
ancestorId String
descendantId String
depth Int
ancestor Resource @relation("ResourceClosureAnc", fields: [ancestorId], references: [id], onDelete: Cascade)
descendant Resource @relation("ResourceClosureDesc", fields: [descendantId], references: [id], onDelete: Cascade)
@@id([ancestorId, descendantId])
@@index([descendantId])
}
model RoleBinding {
id String @id @default(uuid())
tenantId String
userId String
roleId String
scopeResourceId String? // 作用域(某项目/数据集)
expiresAt DateTime?
createdAt DateTime @default(now())
tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)
user User @relation(fields: [userId], references: [id], onDelete: Cascade)
role Role @relation(fields: [roleId], references: [id], onDelete: Cascade)
scope Resource? @relation(fields: [scopeResourceId], references: [id], onDelete: SetNull)
@@index([tenantId, userId])
@@index([tenantId, roleId])
@@index([tenantId, scopeResourceId])
}
model Policy {
id String @id @default(uuid())
tenantId String
subjectType SubjectType
subjectId String // Role.id 或 User.id
action Action
resourceType ResourceType
scopeResourceId String?
effect Effect
priority Int @default(100) // 数字越小优先级越高
conditions Json? // ABAC 条件(JSONLogic/CASL 条件)
createdAt DateTime @default(now())
tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)
scope Resource? @relation(fields: [scopeResourceId], references: [id], onDelete: SetNull)
@@index([tenantId, subjectType, subjectId])
@@index([tenantId, action, resourceType])
}
model AuditLog {
id String @id @default(uuid())
tenantId String
actorUserId String?
action String // create_resource, assign_role, policy_eval, login, etc.
entityType String
entityId String?
requestId String?
ip String?
userAgent String?
result String? // allow/deny/failed
before Json?
after Json?
error String?
createdAt DateTime @default(now())
actor User? @relation("ActorAuditLog", fields: [actorUserId], references: [id], onDelete: SetNull)
tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)
@@index([tenantId, createdAt])
}
三、PostgreSQL RLS 策略与审计触发器(迁移 SQL 片段)
说明:通过会话 GUC 变量 app.tenant_id 与 app.actor_id,在事务中设置,RLS 保证任何表只访问当前租户数据。Prisma 可在 $transaction 中使用 SET LOCAL。
-- prisma/migrations/<timestamp>_rls_audit/migration.sql
-- 开启 RLS
ALTER TABLE "Tenant" ENABLE ROW LEVEL SECURITY;
ALTER TABLE "UserTenant" ENABLE ROW LEVEL SECURITY;
ALTER TABLE "Role" ENABLE ROW LEVEL SECURITY;
ALTER TABLE "Resource" ENABLE ROW LEVEL SECURITY;
ALTER TABLE "RoleBinding" ENABLE ROW LEVEL SECURITY;
ALTER TABLE "Policy" ENABLE ROW LEVEL SECURITY;
ALTER TABLE "AuditLog" ENABLE ROW LEVEL SECURITY;
-- 通用 RLS policy: tenant_id = current_setting('app.tenant_id', true)
DO $$
BEGIN
FOR t IN SELECT tablename FROM pg_tables WHERE schemaname = 'public'
LOOP
EXECUTE format('CREATE POLICY tenant_isolation ON %I USING (tenant_id::text = current_setting(''app.tenant_id'', true))', t.tablename)
ON CONFLICT DO NOTHING;
END LOOP;
END $$;
-- 审计触发器函数:记录 before/after,使用 app.actor_id 注入主体
CREATE OR REPLACE FUNCTION app.audit_trigger() RETURNS trigger AS $func$
DECLARE
actor TEXT := current_setting('app.actor_id', true);
tid TEXT := current_setting('app.tenant_id', true);
BEGIN
IF TG_OP = 'INSERT' THEN
INSERT INTO "AuditLog"(id, tenantId, actorUserId, action, entityType, entityId, after, createdAt)
VALUES (gen_random_uuid()::text, tid, actor, TG_ARGV[0], TG_TABLE_NAME, NEW.id::text, TO_JSONB(NEW), now());
RETURN NEW;
ELSIF TG_OP = 'UPDATE' THEN
INSERT INTO "AuditLog"(id, tenantId, actorUserId, action, entityType, entityId, before, after, createdAt)
VALUES (gen_random_uuid()::text, tid, actor, TG_ARGV[0], TG_TABLE_NAME, NEW.id::text, TO_JSONB(OLD), TO_JSONB(NEW), now());
RETURN NEW;
ELSIF TG_OP = 'DELETE' THEN
INSERT INTO "AuditLog"(id, tenantId, actorUserId, action, entityType, entityId, before, createdAt)
VALUES (gen_random_uuid()::text, tid, actor, TG_ARGV[0], TG_TABLE_NAME, OLD.id::text, TO_JSONB(OLD), now());
RETURN OLD;
END IF;
END
$func$ LANGUAGE plpgsql;
-- 给关键表挂载审计触发器
CREATE TRIGGER audit_resource_ins AFTER INSERT ON "Resource"
FOR EACH ROW EXECUTE FUNCTION app.audit_trigger('create_resource');
CREATE TRIGGER audit_resource_upd AFTER UPDATE ON "Resource"
FOR EACH ROW EXECUTE FUNCTION app.audit_trigger('update_resource');
CREATE TRIGGER audit_resource_del AFTER DELETE ON "Resource"
FOR EACH ROW EXECUTE FUNCTION app.audit_trigger('delete_resource');
-- 更多表按需添加触发器...
四、NestJS 代码骨架(鉴权、仓储、控制器、OpenAPI、测试)
- 设置每请求的 tenant_id 与 actor_id(RLS 与审计上下文)
// src/common/tenant-context.interceptor.ts
import { CallHandler, ExecutionContext, Injectable, NestInterceptor } from '@nestjs/common';
import { PrismaService } from '../infra/prisma.service';
import { Observable, from } from 'rxjs';
import { switchMap } from 'rxjs/operators';
@Injectable()
export class TenantContextInterceptor implements NestInterceptor {
constructor(private readonly prisma: PrismaService) {}
intercept(ctx: ExecutionContext, next: CallHandler): Observable<any> {
const req = ctx.switchToHttp().getRequest();
const tenantId = req.headers['x-tenant-id'];
const actorId = req.user?.id ?? null;
if (!tenantId) throw new Error('Missing X-Tenant-Id');
// 将请求处理包装到一个事务内,设置会话变量(RLS + 审计)
return from(this.prisma.$transaction(async (tx) => {
await tx.$executeRawUnsafe(`SET LOCAL app.tenant_id = '${tenantId}'`);
if (actorId) await tx.$executeRawUnsafe(`SET LOCAL app.actor_id = '${actorId}'`);
// 将 tx 注入 req 以供仓储层复用
(req as any).db = tx;
return next.handle().toPromise();
}));
}
}
- PrismaService 与仓储层
// src/infra/prisma.service.ts
import { Injectable, OnModuleInit, INestApplication } from '@nestjs/common';
import { PrismaClient } from '@prisma/client';
@Injectable()
export class PrismaService extends PrismaClient implements OnModuleInit {
async onModuleInit() { await this.$connect(); }
async enableShutdownHooks(app: INestApplication) {
this.$on('beforeExit', async () => { await app.close(); });
}
}
// src/repositories/resource.repository.ts
import { Prisma, Resource } from '@prisma/client';
export class ResourceRepository {
constructor(private readonly db: Prisma.TransactionClient) {}
async findById(id: string): Promise<Resource | null> {
// 受 RLS 限制,无需手动过滤 tenant_id
return this.db.resource.findUnique({ where: { id } });
}
async listByScope(tenantId: string, type: 'PROJECT' | 'DATASET'): Promise<Resource[]> {
// 显式带 tenantId 可走索引;RLS 仍兜底
return this.db.resource.findMany({ where: { tenantId, type } });
}
}
- NestJS + CASL Ability 构建与 Guard
// src/auth/actions.ts
export enum AppAction {
Read = 'read',
Create = 'create',
Update = 'update',
Delete = 'delete',
Manage = 'manage',
}
export type AppSubject = 'tenant' | 'project' | 'dataset' | 'record';
// src/auth/casl-ability.factory.ts
import { Ability, AbilityBuilder, AbilityClass, ExtractSubjectType } from '@casl/ability';
type AppAbility = Ability<[AppAction, AppSubject | 'all']>;
export class CaslAbilityFactory {
createForUser(ctx: {
userId: string;
tenantId: string;
roleBindings: Array<{ roleName: string; scopeResourceId?: string }>;
policies: Array<{
effect: 'ALLOW' | 'DENY';
action: AppAction;
resourceType: AppSubject;
conditions?: Record<string, any>;
scopeResourceId?: string;
priority: number;
}>;
}): AppAbility {
const { can, cannot, build } = new AbilityBuilder<AppAbility>(Ability as AbilityClass<AppAbility>);
// 先应用 DENY 高优先级策略
const sorted = ctx.policies.sort((a, b) => a.priority - b.priority);
for (const p of sorted) {
const handler = p.effect === 'DENY' ? cannot : can;
handler(p.action, p.resourceType, p.conditions || {});
}
// 基于角色绑定的默认权限(示例)
for (const rb of ctx.roleBindings) {
if (rb.roleName === 'tenant_admin') {
can('manage', 'tenant');
can('manage', 'project');
can('manage', 'dataset');
}
if (rb.roleName === 'project_editor') {
can('update', 'project');
can('create', 'dataset');
}
}
return build({
detectSubjectType: (item) => item as ExtractSubjectType<AppSubject>,
});
}
}
// src/auth/policies.guard.ts
import { CanActivate, ExecutionContext, Injectable } from '@nestjs/common';
import { CaslAbilityFactory } from './casl-ability.factory';
@Injectable()
export class PoliciesGuard implements CanActivate {
constructor(private readonly abilityFactory: CaslAbilityFactory) {}
async canActivate(ctx: ExecutionContext): Promise<boolean> {
const req = ctx.switchToHttp().getRequest();
const { db } = req;
const userId = req.user.id;
const tenantId = req.headers['x-tenant-id'];
// 加载用户在租户下的角色绑定与策略(应做缓存)
const roleBindings = await db.roleBinding.findMany({ where: { tenantId, userId } });
const roleIds = roleBindings.map((rb) => rb.roleId);
const policies = await db.policy.findMany({
where: {
tenantId,
OR: [{ subjectType: 'USER', subjectId: userId }, { subjectType: 'ROLE', subjectId: { in: roleIds } }],
},
});
const ability = this.abilityFactory.createForUser({
userId,
tenantId,
roleBindings: roleBindings.map((rb) => ({ roleName: '', scopeResourceId: rb.scopeResourceId })), // 生产中需 join Role.name
policies: policies.map((p) => ({
action: p.action.toLowerCase() as any,
resourceType: p.resourceType.toLowerCase() as any,
effect: p.effect,
conditions: p.conditions as any,
scopeResourceId: p.scopeResourceId ?? undefined,
priority: p.priority,
})),
});
// 将 ability 注入请求上下文
req.ability = ability;
return true;
}
}
// src/common/check-policy.decorator.ts
import { SetMetadata } from '@nestjs/common';
export const CheckPolicy = (action: string, subject: string) => SetMetadata('policy', { action, subject });
// src/common/policy-check.guard.ts
import { CanActivate, ExecutionContext, Injectable, Reflector } from '@nestjs/common';
@Injectable()
export class PolicyCheckGuard implements CanActivate {
constructor(private readonly reflector: Reflector) {}
canActivate(ctx: ExecutionContext) {
const req = ctx.switchToHttp().getRequest();
const ability = req.ability;
const meta = this.reflector.get<{ action: string; subject: string }>('policy', ctx.getHandler());
if (!meta) return true;
return ability.can(meta.action, meta.subject);
}
}
- 控制器与 OpenAPI 合约(Swagger)
// src/roles/roles.controller.ts
import { Controller, Get, Post, Body, Param, UseGuards } from '@nestjs/common';
import { ApiTags, ApiOperation, ApiResponse } from '@nestjs/swagger';
import { PoliciesGuard } from '../auth/policies.guard';
import { PolicyCheckGuard } from '../common/policy-check.guard';
import { CheckPolicy } from '../common/check-policy.decorator';
class CreateRoleDto {
name: string;
description?: string;
}
@ApiTags('roles')
@Controller('tenants/:tenantId/roles')
@UseGuards(PoliciesGuard, PolicyCheckGuard)
export class RolesController {
@Get()
@ApiOperation({ summary: '列表角色' })
@ApiResponse({ status: 200, description: '成功' })
@CheckPolicy('read', 'tenant')
async list() {
// 通过 req.db 查询
}
@Post()
@ApiOperation({ summary: '创建角色' })
@ApiResponse({ status: 201 })
@CheckPolicy('manage', 'tenant')
async create(@Body() dto: CreateRoleDto) {
// 创建角色并写审计
}
}
- Jest 单元测试模板
// test/auth/casl-ability.factory.spec.ts
import { CaslAbilityFactory } from '../../src/auth/casl-ability.factory';
describe('CaslAbilityFactory', () => {
it('deny first then allow', () => {
const factory = new CaslAbilityFactory();
const ability = factory.createForUser({
userId: 'u1',
tenantId: 't1',
roleBindings: [{ roleName: 'project_editor' }],
policies: [
{ effect: 'DENY', action: 'update', resourceType: 'project', priority: 1 },
{ effect: 'ALLOW', action: 'update', resourceType: 'project', priority: 100 },
] as any,
});
expect(ability.cannot('update', 'project')).toBe(true);
});
it('tenant admin can manage', () => {
const factory = new CaslAbilityFactory();
const ability = factory.createForUser({
userId: 'u1', tenantId: 't1',
roleBindings: [{ roleName: 'tenant_admin' }],
policies: [] as any,
});
expect(ability.can('manage', 'tenant')).toBe(true);
});
});
五、文生代码自动生成器(CLI 模板)
目标:从一个资源/动作配置生成 Prisma 模型片段、仓储、Guard、控制器、OpenAPI 与测试骨架。可作为 dev 脚本在 CI/CD 前运行。
- 配置文件示例 rbac.config.yaml
resources:
- name: project
actions: [read, create, update, delete, manage]
- name: dataset
actions: [read, create, update, delete]
- name: record
actions: [read, update, delete]
roles:
- name: tenant_admin
grants:
- { action: manage, resource: tenant }
- { action: manage, resource: project }
- name: project_editor
grants:
- { action: update, resource: project }
- { action: create, resource: dataset }
- 生成器脚本 rbacgen.ts(简化示例)
// tools/rbacgen.ts
import * as fs from 'fs';
import * as path from 'path';
import * as yaml from 'js-yaml';
type Config = {
resources: { name: string; actions: string[] }[];
roles: { name: string; grants: { action: string; resource: string }[] }[];
};
const tplController = (resource: string) => `
import { Controller, Get, Post, Body, UseGuards } from '@nestjs/common';
import { ApiTags } from '@nestjs/swagger';
import { PoliciesGuard } from '../auth/policies.guard';
import { PolicyCheckGuard } from '../common/policy-check.guard';
import { CheckPolicy } from '../common/check-policy.decorator';
@ApiTags('${resource}')
@UseGuards(PoliciesGuard, PolicyCheckGuard)
@Controller('tenants/:tenantId/${resource}')
export class ${capitalize(resource)}Controller {
@Get()
@CheckPolicy('read', '${resource}')
async list() {}
@Post()
@CheckPolicy('create', '${resource}')
async create(@Body() dto: any) {}
}
`;
function capitalize(s: string) { return s.charAt(0).toUpperCase() + s.slice(1); }
(async function main() {
const cfg = yaml.load(fs.readFileSync('rbac.config.yaml', 'utf-8')) as Config;
// 生成 actions.ts
const actions = Array.from(new Set(cfg.resources.flatMap(r => r.actions))).map(a => a.toUpperCase());
const actionsTs = `export enum AppAction { ${actions.map(a => `${capitalize(a)}='${a.toLowerCase()}'`).join(', ')} }`;
fs.writeFileSync(path.join('src/auth/actions.auto.ts'), actionsTs);
// 生成控制器
for (const r of cfg.resources) {
const code = tplController(r.name);
fs.writeFileSync(path.join('src', r.name, `${r.name}.controller.auto.ts`), code);
}
// 生成测试骨架
const testTpl = `describe('Policy ${new Date().toISOString()}', () => { it('should compile', () => expect(true).toBeTruthy()); });`;
fs.writeFileSync(path.join('test/policy.auto.spec.ts'), testTpl);
console.log('RBAC scaffold generated.');
})();
六、三种策略评估方案与取舍
评估维度:开发效率、系统可维护性、安全性、可扩展性、部署复杂度、代码可读性。
- NestJS Guards + CASL
- 适用场景:大部分 RBAC + 简单 ABAC(基于属性条件),需快速落地、团队 TS 熟悉。
- 优点
- 开发效率高:与 NestJS 容器/Guard 装配自然集成,学习曲线低。
- 代码可读性好:能力构建清晰、测试简单。
- 性能好:内存评估,无额外网络跳转;配合缓存容易达成 P99 < 200ms。
- 维护性较高:策略以代码/DB 条目表现,CI 可测试。
- 缺点
- 策略表达力有限:复杂层次与跨资源规则需自行封装。
- 合规审计需要额外实现审计与变更留痕(本文已给出方案)。
- 最佳实践
- 结合 RLS 强制隔离 + CASL 评估业务权限。
- 缓存用户有效权限(用户+租户)5 分钟 TTL;变更时主动失效。
- 策略优先级与 DENY 优先原则,避免“隐性允许”。
- 自研策略引擎(JSON DSL + 条件求值)
- 适用场景:需要非常细粒度、复杂条件(时序、额度、部门矩阵等),CASL 无法优雅覆盖。
- 优点
- 表达力强:可设计 DSL 与多种算子(JSONLogic、时间窗口、资源标签)。
- 扩展性高:结合领域特性优化。
- 缺点
- 开发与维护成本高:引擎正确性、安全性、性能都需要大量测试。
- 代码可读性受 DSL 复杂度影响;策略审查门槛高。
- 最佳实践
- 严格单元+属性测试,产生执行轨迹(用于审计)。
- 采用安全子集与静态分析(防止无限循环/高复杂度规则)。
- 只有当 CASL/OPA 明显不满足时再选用。
- OPA sidecar(Rego)
- 适用场景:合规性强、策略与代码分离、需要策略热更新与集中化治理。
- 优点
- 安全性与合规:策略可审计、版本化,OPA 社区成熟。
- 可维护性(对策略作者):Policy-as-code,治理工具链完善。
- 可扩展性:跨服务统一策略,易于灰度/蓝绿策略发布。
- 缺点
- 部署复杂度高:引入 sidecar、Rego 工具链、策略分发。
- 性能:需要本地 HTTP 调用;需缓存与批量评估以达 P99 < 200ms。
- 最佳实践
- 采用本地 sidecar(127.0.0.1)+ keep-alive;策略缓存 1-5 分钟。
- 将租户 ID、用户属性、资源属性作为 OPA 输入;在 OPA 返回 allow/deny 与理由。
- 在审计日志记录 OPA 决策与输入摘要。
推荐结论与取舍
- 在当前约束与团队技术栈下,优先方案为 NestJS Guards + CASL + Postgres RLS。它在开发效率、可维护性、可读性与性能方面最均衡,部署复杂度最低。
- 如策略复杂度显著提升且合规团队需要策略与应用彻底分离,可在关键路由引入 OPA sidecar,保留 CASL 作轻量权限门禁,实现“CASL 为常态,OPA 为关键决策”的混合架构。
- 自研策略引擎仅在确实需要高度定制化时采用,并做好长期维护与审计投入。
七、管理员委派与资源层级授权
- 管理员委派:tenant_admin 具备 manage tenant 与创建子管理员的能力;通过 RoleBinding 指定 scopeResourceId,将 project_admin 权限限定于某项目范围。
- 层级授权:在 ResourceClosure 上进行“资源向下继承”,如项目级授予可覆盖到子数据集与记录。评估时将 scopeResourceId 展开为后代资源集合(建议缓存后代 ID 集合)。
- 细粒度策略评估:Policy.conditions 推荐使用 JSONLogic 子集,包含 eq、in、subset、timeBetween、ownerId 等;对照 CASL 条件使用。
八、性能与缓存建议
- 连接池:使用 pgbouncer;Prisma 建议直连 pgbouncer 会话池。
- 缓存:可选 Redis(共享)或 LRU 本地缓存;缓存 Key = tenantId:userId,有效权限 TTL 300s;在角色绑定/策略变更时发布 Pub/Sub 失效消息。
- 索引:所有高频 where 条件添加组合索引,如 RoleBinding(tenantId, userId),Policy(tenantId, subjectType, subjectId),Resource(tenantId, path)。
- 批量加载:在一个请求中尽量批量读策略与角色;避免 N+1。
- 目标:鉴权路径不超过 2 次 DB 访问;在缓存命中时为 0 次 DB。
九、Docker Compose 与可选组件
# docker-compose.yml
version: '3.8'
services:
postgres:
image: postgres:16
environment:
POSTGRES_PASSWORD: example
ports: ['5432:5432']
volumes:
- pgdata:/var/lib/postgresql/data
pgbouncer:
image: edoburu/pgbouncer
environment:
DB_HOST: postgres
DB_USER: postgres
DB_PASSWORD: example
ports: ['6432:6432']
opa:
image: openpolicyagent/opa:latest
command: ["run", "--server", "--addr=0.0.0.0:8181"]
ports: ['8181:8181']
# 可选:仅当选择 OPA 方案
redis:
image: redis:7
ports: ['6379:6379']
# 可选:共享缓存
app:
build: .
environment:
DATABASE_URL: postgresql://postgres:example@pgbouncer:6432/postgres
REDIS_URL: redis://redis:6379
ports: ['3000:3000']
depends_on: [postgres, pgbouncer]
volumes:
pgdata:
十、CI/CD 与蓝绿/灰度发布
- Pipeline 步骤
- 安装依赖、ESLint 检查、Jest 测试(含策略评估与 RLS e2e)。
- prisma migrate deploy;生成 Prisma Client。
- 构建镜像;推送 Registry。
- 蓝绿:两套 app 叠代,切换负载均衡;数据库迁移采用 expand-contract(先扩展表/列,再切流,再收缩)。
- 灰度:通过特性旗标与策略版本号,在少量租户/用户上先启用;OPA 可通过 bundle 版本实现。
- 回滚策略
- 数据库迁移提供 down 脚本;审计日志保留操作回放信息。
- 策略版本化,出现问题快速回退到上一个策略 bundle。
十一、ESLint 与编码规范
- 规则:@typescript-eslint/recommended + import/order + no-floating-promises;统一 Prettier。
- 提示:策略表达对象与条件字段使用类型别名与 zod/class-validator 校验,避免脆弱 JSON。
十二、测试覆盖建议
- 单元测试:CaslAbilityFactory(DENY 优先、作用域继承)、策略条件边界。
- 集成测试:跨租户访问被 RLS 拦截;管理员委派仅在作用域内有效。
- e2e:登录并发模拟(如 autocannon),目标 P99 < 200ms;变更角色后缓存失效生效。
十三、方案对比结论(维度评分概述)
- 开发效率:CASL 高,自研中,OPA中-低(策略开发高但平台搭建复杂)。
- 系统可维护性:CASL中-高(代码内),自研中(需制度),OPA高(策略独立可治理)。
- 安全性:CASL中(配合 RLS 与审计可高),自研取决于实现,OPA高。
- 可扩展性:CASL中,自研高,OPA高。
- 部署复杂度:CASL低,自研中,OPA高。
- 代码可读性:CASL高,自研取决于DSL,OPA对代码可读性影响小但策略需懂 Rego。
综合推荐:默认选用 NestJS Guards + CASL + RLS + 应用审计;在需要策略中心化治理与跨系统统一的租户采用 OPA 辅助;避免自研策略引擎,除非有明确的领域复杂度需求与长期维护投入。
以上方案与代码骨架可直接落地,并能在团队熟悉 TypeScript 的前提下,兼顾开发效率、维护性、安全与性能,满足合规审计与蓝绿/灰度发布要求。
