RBAC 权限设计(二)

一、简述

本文正式介绍 RBAC 模型是如何解决权限问题的。

二、RBAC 模型

RBAC(Role-Based Access Control,基于角色的访问控制)是一种访问控制模型,其核心概念是基于角色的权限分配。在 RBAC 模型中,通过让权限与角色关联来实现授权,给用户分配一系列的角色来让注册用户得到这些角色对应的权限,使系统权限分配更加方便。
RBAC 模型可以分为四种:

  1. RBAC0:最简单的用户、角色、权限模型。用户和角色,角色和权限都是多对多的关系。用户拥有的权限等于他所有的角色持有权限之和。
  2. RBAC1:相对于 RBAC0 模型,增加了子角色,引入了继承概念,即子角色可以继承父角色的所有权限。
  3. RBAC2:基于 RBAC0 模型,增加了对角色的一些限制:角色互斥、基数约束、先决条件角色等。
  4. RBAC3:称为统一模型,它包含了 RBAC1 和 RBAC2,利用传递性,也把 RBAC0 包括在内,综合了 RBAC0、RBAC1 和 RBAC2 的所有特点。

三、RBAC0

RBAC0 是RBAC(基于角色的访问控制)模型中最基础的模型。在 RBAC0 模型中,我们把权限赋予角色,再把角色赋予用户。用户和角色,角色和权限都是多对多的关系。用户拥有的权限等于他所有的角色持有权限之和。
例如,我们做一款企业管理产品,如果按传统权限模型,给每一个用户赋予权限则会非常麻烦,并且做不到批量修改用户权限。这时候,可以抽象出几个角色,譬如管理员、普通用户等,然后把权限分配给这些角色,再把角色赋予用户。这样无论是分配权限还是以后的修改权限,只需要修改用户和角色的关系,或角色和权限的关系即可,更加灵活方便。
在这里插入图片描述

四、RBAC1

RBAC1 是 RBAC(基于角色的访问控制)模型中的一种,它在 RBAC0 的基础上引入了角色间的继承关系。简单来说,就是给角色分成几个等级,每个等级的权限不同,从而实现更细粒度的权限管理。
例如,我们可以把一个公司的销售经理看作一个角色,销售经理又可以分为高级销售经理和初级销售经理,这两个角色就形成了一个等级关系。高级销售经理拥有的权限包括自己的权限和初级销售经理的所有权限,这就是角色的继承关系。
在这里插入图片描述

五、RBAC2

RBAC2 是 RBAC(基于角色的访问控制)模型中的一种,它在 RBAC0 的基础上,对用户、角色和权限三者之间增加了一些限制。这些限制可以分成两类,即静态职责分离 SSD (Static Separation of Duty) 和动态职责分离DSD (Dynamic Separation of Duty)。
例如,有些角色之间是需要互斥的,譬如给一个用户分配了销售经理的角色,就不能给他再赋予财务经理的角色了,否则他即可以录入合同又能自己审核合同。
在这里插入图片描述

六、RBAC3

RBAC3 是 RBAC(基于角色的访问控制)模型中的一种,它是 RBAC1 和 RBAC2 的合集。也就是说,RBAC3 既有角色分层(RBAC1的特性),也包括可以增加各种限制(RBAC2的特性)。
这意味着在 RBAC3 模型中,你可以设置角色的等级,并且可以对用户、角色和权限之间增加一些限制,如静态职责分离(SSD)和动态职责分离(DSD)。所以 RBAC3 模型可以满足更复杂的业务需求。
在实际的互联网应用中,大多数场景下 RBAC3 能满足业务需求。然而,只有在系统对权限要求非常复杂时,才考虑使用 RBAC3 权限模型。
在这里插入图片描述

七、一点思考

在上文中,我尽可能的简化了 RBAC 各种模型的描述,但是当描述 RBAC3 模型时依旧可以发现权限设计的高复杂度。所以权限设计并非是一个简单的话题。RBAC 的各种模型是帮助我们应对不同的业务场景的,所以并不是每一个系统的权限设计都需要按照最完善的模型去设计,这会导致过度设计浪费不必要的资源,同时也会增加整个系统的复杂度。所以,在考虑权限设计时需要做一定的权衡取舍。

  • 36
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RBAC权限管理设计是一种通过对不同的用户分配拥有不同权限点的操作来实现权限管理的方法。系统中的权限点必须是程序员已经开发出来的功能,不能随意添加。角色的权限点可以根据实际情况由系统管理员进行添加和删除。用户和角色是一对多的关系,一个用户可以拥有多个角色,从而具备多个角色的权限RBAC权限管理设计包括动态添加路由配置、RBAC组成、RBAC支持的安全原则以及RBAC的优缺点。动态添加路由配置是为了实现根据用户的权限动态生成左侧菜单。RBAC支持的安全原则包括最小权限原则、责任分离原则和数据抽象原则。最小权限原则指的是将角色配置成完成任务所需的最小权限集合,责任分离原则可以通过调用相互独立互斥的角色来共同完成敏感的任务,数据抽象原则可以通过权限的抽象来体现。RBAC的优点包括灵活性高、易于管理和维护,而缺点则包括复杂性高和实施难度大。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [后台系统中RBAC权限设计(详)](https://blog.csdn.net/weixin_58384302/article/details/121087320)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [RBAC权限管理设计](https://blog.csdn.net/weixin_47274607/article/details/121142338)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值