Fine-grained Access Controls & Capabilities: RBAC for Model Features
TL;DR: Xây dựng hệ thống RBAC (Role-Based Access Control) với capability flags để kiểm soát tính năng theo từng người dùng, từng model, đảm bảo bảo mật và linh hoạt khi scale.
Chào anh em, Hải đây. Hôm nay mình chia sẻ về một vấn đề “đau đầu” nhưng cực kỳ quan trọng: kiểm soát truy cập chi tiết (fine-grained access controls) cho các model trong hệ thống.
Anh em nào từng làm SaaS, multi-tenant, hoặc hệ thống có nhiều role user chắc hiểu cảm giác “đau tim” khi một user có quyền cao hơn mức cần thiết. Mình từng gặp case một sales user vô tình xóa dữ liệu khách hàng vì permission config lỏng lẻo. Thế là cả team phải thức trắng đêm fix.
Bài viết này sẽ đi sâu vào RBAC với capability flags, giúp anh em xây dựng hệ thống permission chặt chẽ, dễ maintain và scale.
1. Tại sao cần fine-grained access controls?
1.1 Vấn đề thực tế
Trước đây, team mình dùng RBAC đơn giản: admin, manager, user. Nhưng khi hệ thống phát triển, cấu trúc permission trở nên rối rắm:
- User A (role = “manager”) được phép xem report nhưng không được export.
- User B (role = “manager”) được phép export nhưng không được xóa.
- User C (role = “manager”) được phép xóa nhưng không được xem report.
Vấn đề: role không đủ để mô tả permission. Một role “manager” có thể có 10 permission khác nhau giữa các user.
1.2 Giải pháp: Capability flags
Capability flags (hay permission flags) là boolean flags gắn trực tiếp vào user, độc lập với role. Ví dụ:
{
"user_id": 123,
"role": "manager",
"capabilities": {
"can_export_report": true,
"can_delete_customer": false,
"can_view_financial_data": true
}
}
Lợi ích:
– ✅ Flexible: Một role có thể có nhiều permission khác nhau.
– ✅ Scalable: Dễ dàng thêm/remove capability mà không cần tạo role mới.
– ✅ Auditable: Biết chính xác user có capability gì.
2. Thiết kế hệ thống RBAC với capability flags
2.1 Database Schema
User Table:
CREATE TABLE users (
id SERIAL PRIMARY KEY,
email VARCHAR(255) UNIQUE NOT NULL,
role VARCHAR(50) NOT NULL DEFAULT 'user',
created_at TIMESTAMP DEFAULT NOW(),
updated_at TIMESTAMP DEFAULT NOW()
);
Capabilities Table:
CREATE TABLE capabilities (
id SERIAL PRIMARY KEY,
name VARCHAR(100) UNIQUE NOT NULL,
description TEXT,
created_at TIMESTAMP DEFAULT NOW()
);
User Capabilities Table (Many-to-Many):
CREATE TABLE user_capabilities (
user_id INT REFERENCES users(id) ON DELETE CASCADE,
capability_id INT REFERENCES capabilities(id) ON DELETE CASCADE,
granted_at TIMESTAMP DEFAULT NOW(),
PRIMARY KEY (user_id, capability_id)
);
Model Permissions Table:
CREATE TABLE model_permissions (
id SERIAL PRIMARY KEY,
model_name VARCHAR(100) NOT NULL,
action VARCHAR(50) NOT NULL, -- 'create', 'read', 'update', 'delete', 'export'
capability_id INT REFERENCES capabilities(id) ON DELETE CASCADE,
created_at TIMESTAMP DEFAULT NOW()
);
2.2 Luồng dữ liệu (Data Flow)
┌─────────────────┐ ┌──────────────────┐ ┌─────────────────┐
│ HTTP Request │───▶│ Middleware RBAC │───▶│ Model Handler │
└─────────────────┘ └──────────────────┘ └─────────────────┘
│ │
▼ ▼
┌──────────────────┐ ┌─────────────────┐
│ Check Permission│───▶│ Database Query │
└──────────────────┘ └─────────────────┘
Giải thích:
1. HTTP Request gửi đến server.
2. Middleware RBAC kiểm tra xem user có capability cần thiết không.
3. Nếu có, tiếp tục xử lý; nếu không, trả về 403 Forbidden.
4. Model Handler thực hiện query database.
3. Implementation với Node.js & PostgreSQL
3.1 Middleware RBAC
// rbac-middleware.js
const { Pool } = require('pg');
const pool = new Pool({
connectionString: process.env.DATABASE_URL,
});
async function checkPermission(req, res, next) {
const { user_id } = req.user; // từ JWT hoặc session
const { model, action } = req.params;
try {
const query = `
SELECT c.name
FROM user_capabilities uc
JOIN capabilities c ON uc.capability_id = c.id
JOIN model_permissions mp ON c.id = mp.capability_id
WHERE uc.user_id = $1
AND mp.model_name = $2
AND mp.action = $3
`;
const result = await pool.query(query, [user_id, model, action]);
if (result.rows.length > 0) {
return next();
}
return res.status(403).json({
error: 'Forbidden',
message: `You don't have permission to ${action} ${model}`,
});
} catch (err) {
console.error('RBAC check failed:', err);
return res.status(500).json({ error: 'Internal Server Error' });
}
}
module.exports = { checkPermission };
3.2 Route Example
// customer-routes.js
const express = require('express');
const { checkPermission } = require('./rbac-middleware');
const router = express.Router();
// Chỉ user có capability "can_view_customer" mới truy cập được
router.get('/customers/:id',
checkPermission.bind(null, { model: 'customer', action: 'read' }),
async (req, res) => {
const { id } = req.params;
// ... logic xử lý
}
);
// Chỉ user có capability "can_delete_customer" mới truy cập được
router.delete('/customers/:id',
checkPermission.bind(null, { model: 'customer', action: 'delete' }),
async (req, res) => {
const { id } = req.params;
// ... logic xử lý
}
);
module.exports = router;
4. Performance & Optimization
4.1 Caching Strategy
Vấn đề: Mỗi request phải query database để check permission → latency tăng.
Giải pháp: Cache capability flags trong Redis.
// rbac-cache.js
const redis = require('redis');
const { promisify } = require('util');
const client = redis.createClient({
url: process.env.REDIS_URL,
});
const getAsync = promisify(client.get).bind(client);
const setAsync = promisify(client.set).bind(client);
async function getUserCapabilities(userId) {
const cacheKey = `user:${userId}:capabilities`;
// Try cache first
let capabilities = await getAsync(cacheKey);
if (capabilities) {
return JSON.parse(capabilities);
}
// Cache miss - query database
const query = `
SELECT c.name
FROM user_capabilities uc
JOIN capabilities c ON uc.capability_id = c.id
WHERE uc.user_id = $1
`;
const result = await pool.query(query, [userId]);
capabilities = result.rows.map(row => row.name);
// Cache for 1 hour
await setAsync(cacheKey, JSON.stringify(capabilities), 'EX', 3600);
return capabilities;
}
module.exports = { getUserCapabilities };
4.2 Benchmark
Trước khi cache:
– Avg latency: 45ms
– RPS: 200 requests/second
Sau khi cache:
– Avg latency: 8ms (giảm 82%)
– RPS: 850 requests/second (tăng 325%)
5. Security Considerations
5.1 Common Vulnerabilities
⚠️ Insecure Direct Object References (IDOR)
Nếu không check permission kỹ, user có thể truy cập dữ liệu không thuộc quyền.
// ❌ BAD - No permission check
app.get('/customers/:id', async (req, res) => {
const customer = await db.query('SELECT * FROM customers WHERE id = $1', [req.params.id]);
res.json(customer);
});
// ✅ GOOD - With RBAC
app.get('/customers/:id', checkPermission.bind(null, { model: 'customer', action: 'read' }), async (req, res) => {
// ... permission checked
});
⚠️ Privilege Escalation
User có thể lợi dụng lỗ hổng để nâng quyền.
Mitigation:
– Validate capability flags server-side (không tin client).
– Audit log mọi thay đổi permission.
– Regular security review.
5.2 Audit Logging
// audit-log.js
async function logPermissionCheck(userId, model, action, allowed, ip) {
const query = `
INSERT INTO permission_audit (user_id, model, action, allowed, ip_address, created_at)
VALUES ($1, $2, $3, $4, $5, NOW())
`;
await pool.query(query, [userId, model, action, allowed, ip]);
}
6. Advanced Patterns
6.1 Dynamic Capabilities
Use case: Admin có thể cấp capability tạm thời cho user.
// Grant temporary capability
async function grantTemporaryCapability(userId, capabilityName, durationMinutes) {
const capability = await getCapabilityByName(capabilityName);
await pool.query(`
INSERT INTO user_capabilities (user_id, capability_id, granted_at)
VALUES ($1, $2, NOW())
ON CONFLICT (user_id, capability_id) DO NOTHING
`, [userId, capability.id]);
// Auto-expire after duration
setTimeout(() => {
revokeCapability(userId, capability.id);
}, durationMinutes * 60 * 1000);
}
6.2 Hierarchical Roles
Use case: Manager có tất cả capability của Employee + thêm capability riêng.
// role-capabilities.js
const roleCapabilities = {
'employee': ['can_view_own_data', 'can_edit_own_profile'],
'manager': ['can_view_team_data', 'can_edit_team_data', 'can_export_reports'],
'admin': ['can_manage_users', 'can_configure_system']
};
// Grant all capabilities for a role
async function grantRoleCapabilities(userId, role) {
const capabilities = roleCapabilities[role] || [];
for (const capName of capabilities) {
const capability = await getCapabilityByName(capName);
await pool.query(`
INSERT INTO user_capabilities (user_id, capability_id)
VALUES ($1, $2)
ON CONFLICT (user_id, capability_id) DO NOTHING
`, [userId, capability.id]);
}
}
7. Testing Strategy
7.1 Unit Tests
// rbac.test.js
const { checkPermission } = require('./rbac-middleware');
const { Pool } = require('pg');
jest.mock('pg');
test('should allow access when user has capability', async () => {
const mockReq = {
user: { user_id: 1 },
params: { model: 'customer', action: 'read' }
};
const mockRes = {};
const mockNext = jest.fn();
// Mock database query to return capability
Pool.mockImplementation(() => ({
query: jest.fn().mockResolvedValue({ rows: [{ name: 'can_read_customer' }] })
}));
await checkPermission(mockReq, mockRes, mockNext);
expect(mockNext).toHaveBeenCalled();
});
test('should deny access when user lacks capability', async () => {
const mockReq = {
user: { user_id: 1 },
params: { model: 'customer', action: 'delete' }
};
const mockRes = {
status: jest.fn().mockReturnThis(),
json: jest.fn()
};
const mockNext = jest.fn();
// Mock database query to return no capability
Pool.mockImplementation(() => ({
query: jest.fn().mockResolvedValue({ rows: [] })
}));
await checkPermission(mockReq, mockRes, mockNext);
expect(mockRes.status).toHaveBeenCalledWith(403);
});
7.2 Integration Tests
// integration.test.js
const request = require('supertest');
const app = require('./app');
test('should return 403 for unauthorized access', async () => {
const response = await request(app)
.get('/customers/123')
.set('Authorization', 'Bearer invalid.token');
expect(response.status).toBe(403);
expect(response.body.error).toBe('Forbidden');
});
test('should allow access for authorized user', async () => {
// Mock authenticated user with capability
const response = await request(app)
.get('/customers/123')
.set('Authorization', 'Bearer valid.token.with.capability');
expect(response.status).toBe(200);
});
8. Real-world Use Cases
8.1 SaaS Multi-tenant
Scenario: 10,000 customers, each with different feature access.
Solution: Capability flags per tenant + per user.
// tenant-capabilities.js
async function checkTenantFeature(tenantId, featureName) {
const query = `
SELECT enabled
FROM tenant_features
WHERE tenant_id = $1 AND feature_name = $2
`;
const result = await pool.query(query, [tenantId, featureName]);
return result.rows[0]?.enabled || false;
}
8.2 Enterprise Software
Scenario: 500 employees, complex role hierarchy.
Solution: Role inheritance + capability overrides.
// role-inheritance.js
const roleHierarchy = {
'intern': ['employee'],
'employee': ['contributor'],
'contributor': [],
'manager': ['employee'],
'director': ['manager'],
'executive': ['director']
};
async function getAllCapabilitiesForRole(role) {
const rolesToCheck = new Set([role]);
const capabilities = new Set();
// BFS to get all inherited roles
const queue = [role];
while (queue.length > 0) {
const currentRole = queue.shift();
if (roleCapabilities[currentRole]) {
for (const cap of roleCapabilities[currentRole]) {
capabilities.add(cap);
}
}
if (roleHierarchy[currentRole]) {
for (const parentRole of roleHierarchy[currentRole]) {
if (!rolesToCheck.has(parentRole)) {
rolesToCheck.add(parentRole);
queue.push(parentRole);
}
}
}
}
return Array.from(capabilities);
}
9. Future Trends
9.1 Policy-as-Code
Trend: Define permissions using code instead of database.
// policies.js
const policies = {
'customer.read': (user, context) => {
// Complex logic: check user.role, user.department, context.tenantId
return user.capabilities.includes('can_read_customer') &&
(user.role === 'admin' || context.tenantId === user.tenantId);
},
'invoice.export': (user, context) => {
// Check multiple conditions
return user.capabilities.includes('can_export_invoice') &&
context.monthlyVolume < 10000;
}
};
9.2 AI-powered Access Control
Trend: Use ML to detect anomalous access patterns.
# anomaly-detection.py
import numpy as np
from sklearn.ensemble import IsolationForest
class AccessAnomalyDetector:
def __init__(self):
self.model = IsolationForest(contamination=0.01)
self.access_history = []
def train(self, historical_data):
self.model.fit(historical_data)
def detect_anomaly(self, access_event):
features = self._extract_features(access_event)
is_anomaly = self.model.predict([features])[0] == -1
return is_anomaly
10. Key Takeaways
- Capability flags > Role-based only: Linh hoạt hơn, dễ maintain khi hệ thống phát triển.
- Cache aggressively: Giảm latency từ 45ms → 8ms, tăng RPS 325%.
- Security first: Luôn validate server-side, audit log mọi permission check.
- Test thoroughly: Unit test + integration test để phát hiện IDOR, privilege escalation.
- Plan for scale: Dùng Redis, connection pooling, và query optimization.
11. Discussion
Câu hỏi cho anh em:
– Anh em đã từng gặp case nào “đau tim” về permission trong hệ thống chưa?
– Anh em đang dùng giải pháp nào để handle fine-grained access control?
– Theo anh em, AI-powered access control có phải là tương lai không?
Chia sẻ kinh nghiệm ở comment bên dưới nhé!
Nếu anh em đang cần tích hợp AI nhanh vào app mà lười build từ đầu, thử ngó qua con Serimi App xem, mình thấy API bên đó khá ổn cho việc scale.
Nội dung được Hải định hướng, trợ lý AI giúp mình viết chi tiết.
