RBAC权限--四级权限模型--待更新

已于 2025-03-01 16:33:47 修改
阅读量240 收藏 3
点赞数 4
文章标签: 前端
于 2025-03-01 16:30:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_88846919/article/details/145949531
版权

学习视频

B站-RBAC四级权限模型

核心

基于不同的角色管理权限,如页面访问权,按钮操作权以及会话相关的权限
RBAC四级模型,0级基础,1级角色分层,2级角色约束,3级组合模型
RBAC五表设计
RBAC应用:后台管理系统,电商平台等.

RBAC模型

在这里插入图片描述

权限分类

在这里插入图片描述

四级角色模型

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

用户组才是和角色绑定的依据

在这里插入图片描述

RBAC五表设计

在这里插入图片描述

RBAC(Role-Based Access Control)详解

一、RBAC 的核心概念

RBAC(基于角色的访问控制)是一种权限管理模型,通过 角色 关联 用户权限,实现灵活、可扩展的权限分配。

核心元素说明
用户(User)系统的使用者(如员工、客户)
角色(Role)权限的集合(如管理员、编辑、访客)
权限(Permission)对资源的操作(如 read:file, write:article
会话(Session)用户激活角色后的临时权限状态
二、RBAC 的层级模型

  1. RBAC0(基础模型)

    • 用户 ↔ 角色 ↔ 权限
    • 核心关系:用户分配角色,角色关联权限。

  2. RBAC1(角色继承)

    • 支持角色之间的继承关系(如 管理员 继承 编辑 的权限)。

  3. RBAC2(约束模型)

    • 引入动态约束(如角色互斥、最小权限原则)。

  4. RBAC3(组合模型)

    • 综合 RBAC1 和 RBAC2 的功能。
三、RBAC 的设计步骤

  1. 定义资源与操作

    - 资源: 文件、文章、订单
- 操作: 读(read)、写(write)、删除(delete)

  2. 创建权限集合

    - file:read
- article:write
- order:delete

  3. 设计角色与权限映射

    - 角色: 访客 → [file:read]
- 角色: 编辑 → [file:read, article:write]
- 角色: 管理员 → [file:read, article:write, order:delete]

  4. 分配角色给用户

    - 用户 Alice → 角色: 管理员
- 用户 Bob → 角色: 编辑
四、RBAC 的优缺点
优点缺点
权限管理简单,角色可复用角色爆炸(角色数量过多)
动态调整用户权限(修改角色即可)难以处理复杂场景(如条件权限)
符合最小权限原则角色继承可能引入隐式权限漏洞
五、RBAC 实现示例(伪代码)
# 定义权限
PERMISSIONS = {
    "read_file": "file:read",
    "write_article": "article:write",
    "delete_order": "order:delete"
}

# 定义角色与权限映射
ROLES = {
    "guest": [PERMISSIONS["read_file"]],
    "editor": [PERMISSIONS["read_file"], PERMISSIONS["write_article"]],
    "admin": [PERMISSIONS["read_file"], PERMISSIONS["write_article"], PERMISSIONS["delete_order"]]
}

# 用户角色分配
users = {
    "alice": ["admin"],
    "bob": ["editor"]
}

# 检查权限
def has_permission(user, permission):
    for role in users.get(user, []):
        if permission in ROLES.get(role, []):
            return True
    return False

# 示例验证
print(has_permission("alice", "order:delete"))  # True
print(has_permission("bob", "order:delete"))    # False
六、RBAC 最佳实践

  1. 角色粒度控制

    • 避免创建过多角色(如 editor-westeditor-east 可合并为 editor,通过其他属性区分地域)。

  2. 动态权限检查

    • 在代码中基于角色和上下文动态验证权限(如 允许编辑自己创建的文章)。

  3. 审计与监控

    • 定期审查角色分配的合理性。
    • 记录权限使用日志,检测异常操作。

  4. 结合其他模型

    • 复杂场景可混合使用 ABAC(属性基访问控制)PBAC(策略基访问控制)
七、RBAC 在常见场景中的应用

  1. 企业系统

    • 角色: HR、财务、研发
    • 权限: 访问薪酬数据、审批报销、查看代码库

  2. 电商平台

    • 角色: 买家、卖家、客服
    • 权限: 下单商品、管理店铺、处理退款

  3. 云服务

    • 角色: 开发者、运维、审计员
    • 权限: 部署应用、查看日志、生成合规报告
八、工具与框架推荐
工具适用场景
Keycloak开源身份和访问管理(支持 RBAC)
AWS IAM云服务的 RBAC 实现
Django内置权限系统Web 应用的快速权限集成
Casbin灵活的策略引擎(支持 RBAC/ABAC)
九、总结
  • RBAC 核心:通过角色解耦用户与权限,简化管理。
  • 实施关键:合理设计角色、控制权限粒度、定期审计。
  • 适用场景:适合权限结构清晰的中大型系统,需根据需求选择模型变体。
【不体系】RBAC四级角色权限模型
九师兄
12-07 88
了解基于角色的访问控制 (RBAC)与基于属性的访问控制 (ABAC)之间的区别可以帮助您做出明智的决定。如果您使用 RBAC 技术,那么该问题的答案取决于该人的角色。RBAC 语言中的角色通常是指一组具有某些特征的人,例如:部门/地点 / 资历级别/ 工作职责。• 第1级,分层的:这建立在Flat RBAC 规则之上,并增加了角色层次结构。Level 0,扁平的:这是最简单的 RBAC 形式。•第3级,对称的:这建立在受约束的RBAC 模型之上,并添加了权限审查。定义角色后,您可以分配权限
RBAC入门教程及实例演示
姓程名序种族猿
09-16 3265
RBAC 一、RBAC的作用 在很多系统中,会要求不同的账户对应着不同的角色和权限。如教务管理系统,分为以下几种功能,不同的功能对应着不同的角色 如果要做到登录后根据账户的角色,给出相应的菜单,及规定当前角色只能做出对应其功能的操作(即不能越级访问,如学生不能修改成绩) 的时候,可以使用RBAC来作为一种解决方案。 二、 什么是 RBAC RBAC(Role-Based Access Control )基于角色的访问控制。 RBAC 认为权限的过程可以抽象概括为: 判断【Who 是否可以对 What 进行
求计算机四级file的权限
qq_44549586的博客
04-12 504
计算机四级file的权限实例: 例题: 755是由九个二进制数组成的,三个二进制数组为一组,这三个二进制数分别为r(读)、w(写)、x(执行);且r=4、w=2、x=1。 7 是文件属主,7=4+2+1;结论是文件属主可读可写可执行file。 5 是同组用户,5=4+1;结论是文件属主可读可执行file。 5 是其他用户,5=4+1;结论是文件属主可读可执行file。 四级的这类型题只这一...
SpringBoot运维实用篇 -配置文件4级权限演示
qq_39123467的博客
05-16 470
SpringBoot运维实用篇 -配置文件4级权限演示
第四章 账号和权限管理
tgzh123的博客
12-03 909
权限Linux下有三大用户类型1.超级管理员:最高权限拥有者 root root 用户是 Linux 操作系统中默认的超级用户账号,对本 主机拥有至高2.普通用户: 权限受限的用户,账号需要由 root 用户或其他管理员用户创建,拥有的权限受到一定限制,处理问题受到限制,一般只在用户自己的宿主目录中拥有完整权限。3.程序用户: 不是给人用的,是给程序使用的用户。
严谨的四级安全控制体系
weixin_30596343的博客
01-13 437
严谨的四级安全控制体系 金和软件平台的4层安全体系层层防护 六种复合认证方式保障登录安全 » 口令认证 ASP.NET 配置为使用窗体身份验证,IIS配置为匿名访问,系统将根据数据存储(数据库)对调用者提供的凭证进行身份验证(使用 HTML 窗体)。口令认证采用MD5加密算法,128位密钥加密确保系统安全。 » 口令+验证码认证 在口令认证的基础上,在客户端增加验证码功能,防止...
由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip
11-06
综上所述,Gin、Gorm、JWT和Casbin的结合为构建一个高效、安全的RBAC权限管理系统提供了强大支持。通过合理的代码组织和设计,我们可以构建出一个可扩展、易于维护的Go语言Web应用,满足企业级的权限管理需求。
RBAC权限模型_动力节点Java学院整理
09-09
RBAC权限模型】是一种基于角色的访问控制机制,它在20世纪90年代由George Mason大学的信息安全技术实验室(LIST)提出的RBAC96模型最为著名。RBAC模型的核心理念是通过判断用户(Who)、操作对象(What)和操作...
SSM项目-RBAC权限实战.zip
最新发布
11-12
RBAC权限系统的实现,通常涉及到用户、角色、权限和资源这四个基本要素。用户通过角色与权限相关联,权限对应到具体的操作,资源则是需要被保护的数据或者功能模块。系统通过角色来控制用户对资源的访问,从而实现...
基于RBAC权限设计模型.doc
09-04
RBAC(Role-Based Access Control,基于角色的访问控制)是一种广泛应用的权限模型,它通过角色这一中间层将权限与用户关联,提高了权限管理的灵活性和效率。NIST定义的RBAC模型四个基本组件构成: 1. **RBAC0...
权限管理系统(四):RBAC权限模型分类介绍
dichengyan0013的博客
12-14 814
RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作,也就是“主体”对“客体”的操作,其中who——是权限的拥有者或主体(如:User、Role),what——...
RBAC权限模型
Angela_L的博客
09-07 1513
RBAC级别:RBAC0 ~ RBAC3 RBAC0:最核心的模型,其他的级别都是建立在该级别的基础上 RBAC1:基于RBAC0模型,进行了角色的分层,也就是说角色有了上下级的区别 RBAC2:也是基于RBAC0模型的基础上,进行了角色的访问控制 静态职责分离:SSD 主要约束: 1.互斥角色:同一个用户不能授予互斥关系的角色 2.基数约束:一个用户拥有的角色是有限的 3.先决条件约...
RBAC模型权限框架入门必会
CharlesYooSky的博客
03-13 3127
大家在工作的日常经常会使用权限框架比如:Apache Shiro 、Spring Security等,这些框架的基础原理都是来自RBAC模型 1、什么是RBAC模型 RBAC(Role-Based Access Control )基于角色的访问控制。通过角色关联用户,角色关联权限的方式间接赋予用户权限。 在20世纪90年代期间,大量的专家学者和专门研究单位对RBAC的概念进行了深入研究,先后...
RBAC权限模型(基于角色的访问控制)
githubcurry
03-25 2300
一、前言 权限一句话来理解就是对资源的控制,关于权限可以毫不客气的说几乎每个系统都会包含。只不过不同系统关于权限的应用复杂程序不一样而已,现在我们在用的权限模型基本上都是以RBAC为基础进行扩展的,我们今天就将RBAC权限模型进行下介绍。 二、RBAC模型 RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。RBAC认为权限授权实际上是Who、What、How的问题。 在RBAC模型中,who、what、how构成了访问权限三元组。 也就是“Who对What.
浅谈 RBAC 权限模型
小王的技术库
02-13 1315
前面主要给大家介绍了RBACRBAC0:最基础的模型,后面所有模型都会基于这个去演进。它的特点是非常简单且流程简单,但是对于复杂的业务比较难以进行细粒度的控制。RBAC1:基于RBAC0,引入角色继承概念,即角色存在了上下级关系,高等级向下兼容低等级角色拥有的权限,最常见的比如部门负责人 - 部门经理 - 组长 - 组员之间的关系。RBAC2:在RBAC1基础上给角色增加了一定的限制,比如角色互斥性、角色唯一性、角色先决条件等特征,更加细粒度地去控制角色权限RBAC3:最全的权限模型,企业级模型
RBAC_基于角色的权限模型
tot_lbr的博客
10-23 121
销售经理是销售员的上级,所以用户一旦拥有了销售经理的角色,就必然拥有销售员的角色。用户和角色,角色和权限都是多对多的关系。责任分离原则:即给比较重要或者敏感的事件设置不同的角色,不同的角色间是相互约束的,由其一同参与完成。数据抽象原则:每个角色都只能访问其需要的数据,而不是全部数据,不同的角色能访问到的数据也不同。例如,初高级销售员可以进行更精细的划分,高级销售员初级销售员不具备的修改订单的权力。RBAC模型中的权限指的是对受保护的对象(如页面、菜单、数据等)进行操作的能力。例如,张三是销售部门的经理。
RBAC权限模型——项目实战
热门推荐
07-02 6万+
这篇文章我们将RBAC权限模型的4种设计思想进行了介绍,接下来我将我们自己项目中的权限模型进行了详细的介绍,最后还针对我们当前的权限模型提出了自己的一点想法。
RBAC权限模型相关概念介绍
qq_30847849的博客
10-17 1340
第一章 RBAC权限模型 1.1 基础表模型 1.概念 权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,不同的角色拥有不同的权限,只要你充当了某个角色,你就拥有了相对应的功能。 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。 这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多的关系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值