[RFC] 117 - RBAC 权限表

[arvinxx]

背景

为后续团队版、API 模式提供基础的权限管理能力。

设计思路

在 LobeChat 中添加 RBAC 相关功能表结构
采用经典的五表设计模式，ER图如下：

核心表 - 用户表（现有）

复用系统现有的用户基础信息表，存储用户的基本信息如邮箱、用户名、头像等
通过 user_roles 表将用户与角色建立关联

核心表 - roles (角色表)

定义系统中的各种角色：

• name: 角色标识符 (如 'admin', 'user')
• display_name: 前台页面展示的角色名称
• is_system: 标识是否为系统内置角色
• is_active: 支持角色的启用/禁用

核心表 - permissions (权限表)

定义系统中的所有权限：

• code: 权限代码，由三部分组成：{分类}:{操作类型}:{数据范围}
  • 分类：包含由模块、功能、资源三类组成，比如：message 属于资源、knowled_base知识库属于功能
  • 操作类型：根据分类不同可能有一些不同的操作类型
    • 资源类主要由基础的增删改查构成，比如：message:read、message:write
    • 功能类主要由特定的操作构成，比如：rag:embed、rag:search
    • 模块类可能混合了以上两种，比如：provider:read、provider:enable
  • 可操作的数据范围：按照从大到小设计 全部、工作空间、个人 三种，
• category: 权限所属分类，便于管理
• is_active: 支持权限的启用/禁用

关联表 - role_permissions (角色权限关联表)

实现角色与权限的多对多关系：

• 一个角色可以拥有多个权限
• 一个权限可以分配给多个角色
  在创建表时，注意：
• 建立以 (roleId, permissionId) 构成的主键
• 基于 roleId、permissionId 建立索引

关联表 - user_roles (用户角色关联表)

实现用户与角色的多对多关系：

• 一个用户可以拥有多个角色
• 一个角色可以分配给多个用户
  同时，添加了额外的角色过期时间 expires_at 字段，实现临时授权
  在创建表时，注意：
• 建立以：(user_id, role_id) 构成的主键
• 基于 roleId、userId 建立索引

表关联关系说明

用户 ↔ 角色: 多对多关系

• 用户可以同时拥有多个角色
• 角色可以分配给多个用户

角色 ↔ 权限: 多对多关系

• 角色可以包含多个权限，如：管理员角色包含所有权限
• 权限可以分配给多个角色，如：topic:read'权限可以分配给多个角色
• 用户权限获取路径：用户 → 用户角色 → 角色权限 → 权限
• 用户通过其拥有的角色间接获得权限
• 系统通过查询用户的所有角色，汇总得到用户的最终权限集合

进展

• 👷 build: init rbac system table scheme and data structure #8101

[ayushxx7]

when is user login coming? also the local storage / indexdb storage for plugins / mcps means we are not able to easily start the same docker instance (even from the same ssh machine) without some coding work.