看了一段时间的rbac模型,对rbac模型有了一个初步的了解,但对其中内容理解还不是很透彻.
相对于acl来说,acl构造的user<->permission一个扁平的结构,而rbac模型中的role就好象是一个瓶颈,将本来一个扁平关系结构收束成一个沙漏状的关系结构.role作为rbac模型中的核心基本元素,承担着rabc模型中ua和pa两个关系的管理,可以将role在分配权限时可以作为一个接口提供给系统使用.对于privilege这个概念,开始的时候在网上看到一些文章,有的认为是由权限和资源的组合而成为操作的,操作包含权限和资源,好象是因为先有了权限才有了操作一样,不知道为什么要这样理解,想不通.自己对privilege和operation的理解是现有资源和操作,在没有组合时,操作时没有意义的,权限是有对资源进行操作的能力,是资源+操作组合而成权限.
相对于acl来说,acl构造的user<->permission一个扁平的结构,而rbac模型中的role就好象是一个瓶颈,将本来一个扁平关系结构收束成一个沙漏状的关系结构.role作为rbac模型中的核心基本元素,承担着rabc模型中ua和pa两个关系的管理,可以将role在分配权限时可以作为一个接口提供给系统使用.对于privilege这个概念,开始的时候在网上看到一些文章,有的认为是由权限和资源的组合而成为操作的,操作包含权限和资源,好象是因为先有了权限才有了操作一样,不知道为什么要这样理解,想不通.自己对privilege和operation的理解是现有资源和操作,在没有组合时,操作时没有意义的,权限是有对资源进行操作的能力,是资源+操作组合而成权限.