RBAC 权限设计(二)

已于 2024-05-09 19:17:18 修改
阅读量827 收藏 13
点赞数 36
分类专栏: 场景设计篇 文章标签: rbac 权限设计
于 2024-04-03 07:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LearnerDL/article/details/137294829
版权

一、简述

本文正式介绍 RBAC 模型是如何解决权限问题的。

二、RBAC 模型

RBAC(Role-Based Access Control,基于角色的访问控制)是一种访问控制模型,其核心概念是基于角色的权限分配。在 RBAC 模型中,通过让权限与角色关联来实现授权,给用户分配一系列的角色来让注册用户得到这些角色对应的权限,使系统权限分配更加方便。
RBAC 模型可以分为四种:

  1. RBAC0:最简单的用户、角色、权限模型。用户和角色,角色和权限都是多对多的关系。用户拥有的权限等于他所有的角色持有权限之和。
  2. RBAC1:相对于 RBAC0 模型,增加了子角色,引入了继承概念,即子角色可以继承父角色的所有权限。
  3. RBAC2:基于 RBAC0 模型,增加了对角色的一些限制:角色互斥、基数约束、先决条件角色等。
  4. RBAC3:称为统一模型,它包含了 RBAC1 和 RBAC2,利用传递性,也把 RBAC0 包括在内,综合了 RBAC0、RBAC1 和 RBAC2 的所有特点。

三、RBAC0

RBAC0 是RBAC(基于角色的访问控制)模型中最基础的模型。在 RBAC0 模型中,我们把权限赋予角色,再把角色赋予用户。用户和角色,角色和权限都是多对多的关系。用户拥有的权限等于他所有的角色持有权限之和。
例如,我们做一款企业管理产品,如果按传统权限模型,给每一个用户赋予权限则会非常麻烦,并且做不到批量修改用户权限。这时候,可以抽象出几个角色,譬如管理员、普通用户等,然后把权限分配给这些角色,再把角色赋予用户。这样无论是分配权限还是以后的修改权限,只需要修改用户和角色的关系,或角色和权限的关系即可,更加灵活方便。
在这里插入图片描述

四、RBAC1

RBAC1 是 RBAC(基于角色的访问控制)模型中的一种,它在 RBAC0 的基础上引入了角色间的继承关系。简单来说,就是给角色分成几个等级,每个等级的权限不同,从而实现更细粒度的权限管理。
例如,我们可以把一个公司的销售经理看作一个角色,销售经理又可以分为高级销售经理和初级销售经理,这两个角色就形成了一个等级关系。高级销售经理拥有的权限包括自己的权限和初级销售经理的所有权限,这就是角色的继承关系。
在这里插入图片描述

五、RBAC2

RBAC2 是 RBAC(基于角色的访问控制)模型中的一种,它在 RBAC0 的基础上,对用户、角色和权限三者之间增加了一些限制。这些限制可以分成两类,即静态职责分离 SSD (Static Separation of Duty) 和动态职责分离DSD (Dynamic Separation of Duty)。
例如,有些角色之间是需要互斥的,譬如给一个用户分配了销售经理的角色,就不能给他再赋予财务经理的角色了,否则他即可以录入合同又能自己审核合同。
在这里插入图片描述

六、RBAC3

RBAC3 是 RBAC(基于角色的访问控制)模型中的一种,它是 RBAC1 和 RBAC2 的合集。也就是说,RBAC3 既有角色分层(RBAC1的特性),也包括可以增加各种限制(RBAC2的特性)。
这意味着在 RBAC3 模型中,你可以设置角色的等级,并且可以对用户、角色和权限之间增加一些限制,如静态职责分离(SSD)和动态职责分离(DSD)。所以 RBAC3 模型可以满足更复杂的业务需求。
在实际的互联网应用中,大多数场景下 RBAC3 能满足业务需求。然而,只有在系统对权限要求非常复杂时,才考虑使用 RBAC3 权限模型。
在这里插入图片描述

七、一点思考

在上文中,我尽可能的简化了 RBAC 各种模型的描述,但是当描述 RBAC3 模型时依旧可以发现权限设计的高复杂度。所以权限设计并非是一个简单的话题。RBAC 的各种模型是帮助我们应对不同的业务场景的,所以并不是每一个系统的权限设计都需要按照最完善的模型去设计,这会导致过度设计浪费不必要的资源,同时也会增加整个系统的复杂度。所以,在考虑权限设计时需要做一定的权衡取舍。

DC1020
关注
  • 36
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django RBAC权限管理设计过程详解
09-18
主要介绍了Django RBAC权限管理设计过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
从零开始搭建企业管理系统(六):RBAC 权限管理设计
我吃柠檬的博客
12-11 890
作为一个后台管理系统,权限管理是一个绕不开的话题,一个成熟的后端系统离不开一个比较完善的权限管理系统,所以本小结我们根据 RBAC 思想来设计一下我们这个系统的权限管理。RBAC 模型(Role-Based Access Control:基于角色的访问控制)模型是比较早期提出的权限实现模型,在多用户计算机时期该思想即被提出,其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有代表,并得到了普遍的公认。
RBAC权限设计
zlc1990628的博客
09-18 2286
权限管理是B端产品绕不开的话题,本文总结了我对权限管理的设计经验与设计方法,共分为4个部分:权限管理的概念梳理RBAC权限设计的一般步骤设计功能权限的三板斧:基础版(权限、角色、用户管理)、进阶版(部门、职位、菜单管理)、拓展(版本管理)如何设计数据权限所有内容均根据自身思考实践及经验借鉴而来,如有错误欢迎指正。第一章:权限管理的概念梳理一、权限是什么权限包括了功能权限和数据权限:功能权限是系统执行权限控制的基本单元,包括页面权限、菜单权限、按钮权限等数据权限
这么全的权限系统设计方案,不值得收藏吗?
dream317
04-28 916
本文从易到难非常详细的介绍了权限模型的设计,在工作中需要根据实际情况来定义模型,千人以内的公司使用RBAC模型是完全够用的,没有必要吧权限模型设计的过于复杂。模型的选择要根据具体情况,比如公司体量、业务类型、人员数量等。总之最适合自己公司的模型就是最好的模型,权限模式和设计模式是一样的,都是为了更好的解决问题,不要为了使用模型而使用模型。
基于Spring Boot 3.2的微服务RBAC权限管理系统设计源码
04-11
本源码提供了一个基于Spring Boot 3.2的微服务RBAC权限管理系统设计。项目包含591个文件,其中包括363个Java源文件、71个JavaScript文件、42个XML文件、13个YAML文件、11个TTF字体文件、11个WOFF字体文件、10个CSS...
基于RBAC权限设计模型.doc
09-04
RBAC 模型作为目前最为广泛接受的权限模型。 NIST (The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0(Core ...
RBAC权限管理.pptx
03-31
RBAC权限管理demo:https://github.com/sunshine5688/rbacdemo.git
地县级城市建设道路清扫保洁面积 道路清扫保洁面积道路机械化清扫保洁面积 省份 城市.xlsx
06-22
数据含省份、行政区划级别(细分省级、地级市、县级市)两个变量,便于多个角度的筛选与应用 数据年度:2002-2022 数据范围:全693个地级市、县级市、直辖市城市,含各省级的汇总tongji数据 数据文件包原始数据(由于多年度指标不同存在缺失值)、线性插值、回归填补三个版本,提供您参考使用。 其中,回归填补无缺失值。 填补说明: 线性插值。利用数据的线性趋势,对各年份中间的缺失部分进行填充,得到线性插值版数据,这也是学者最常用的插值方式。 回归填补。基于ARIMA模型,利用同一地区的时间序列数据,对缺失值进行预测填补。 包含的主要城市: 通州 石家庄 藁城 鹿泉 辛集 晋州 新乐 唐山 开平 遵化 迁安 秦皇岛 邯郸 武安 邢台 南宫 沙河 保定 涿州 定州 安国 高碑店 张家口 承德 沧州 泊头 任丘 黄骅 河间 廊坊 霸州 三河 衡水 冀州 深州 太原 古交 大同 阳泉 长治 潞城 晋城 高平 朔州 晋中 介休 运城 永济 .... 等693个地级市、县级市,含省级汇总 主要指标:
从网站上学习到了路由的一系列代码
06-22
今天的学习圆满了
基于AT89C51单片机的可手动定时控制的智能窗帘设计.zip-11
06-22
压缩包构造:程序、仿真、原理图、pcb、任务书、结构框图、流程图、开题文档、设计文档、元件清单、实物图、焊接注意事项、实物演示视频、运行图片、功能说明、使用前必读。 仿真构造:AT89C51,LCD液晶显示器,5功能按键,步进器,灯。 代码文档:代码1024行有注释;设计文档18819字。 功能介绍:系统具有手动、定时、光控、温控和湿度控制五种模式。在手动模式下,两个按钮可控制窗帘的开合;定时模式下,根据预设时间自动开合窗帘;光控模式下,当光照超过设定阈值时,窗帘自动开启;低于阈值时,窗帘自动关闭;温控模式下,当温度超过设定阈值时,窗帘自动开启;低于阈值时,窗帘自动关闭;湿度控制模式下,当湿度超过设定阈值时,窗帘自动开启;低于阈值时,窗帘自动关闭。按钮可用于调节阈值、选择模式、设置时间等。
007_insert_seal_approval_cursor.sql
06-22
007_insert_seal_approval_cursor.sql
springboot072基于JavaWeb技术的在线考试系统设计与实现.zip
06-22
java基于SpringBoot+vue在线考试系统源码 带毕业论文+PPT 【资源说明】 1、开发环境:SpringBoot框架;内含Mysql数据库;VUE技术;内含说明文档 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
Official OSX, Windows, and Linux Desktop Clients for Rocket.Chat
06-22
Linux是一套免费使用和自由传播的类Unix操作系统,由林纳斯·托瓦兹于1991年首次发布。 Linux不仅是一个强大的操作系统,也是一个庞大的技术生态系统,涵盖了从服务器到个人电脑的各种应用场景。同时,它的开源特性和广泛的社区支持使其成为技术发展的重要推动力。在了解Linux的过程中,人们不仅能够看到其强大的技术基础和广泛的应用领域,还能体会到它作为开源先锋在全球科技发展中的重要地位。
Python编程基础 Python语言程序教程 Python基础入门教程 共131页.pptx
06-22
【课程大纲】 python语言的历史、简介及发展方向概述 python基本语法(基本的数据类型、内建的数据结构、运算符、函数) python列表、元组和字典 python中的字符串处理 python的条件、循环和其他语句 python的文件处理 python的异常及处理 python可用的函数和模块 python的os模块 python类 使用python实现网页爬虫 案例分析
素材李芙蓉2350302435.zip
06-22
素材李芙蓉2350302435.zip
MySQL windo系统安装8.0以上版本 文档
最新发布
06-22
MySQL安装保姆级教程,通过这个文档,你可以了解包括安装,卸载,配置path 变量,安装错误解决问题。 并成为一个初级了解MySQL安装卸载应用的人
地县级城市建设按用途分维护支出 按用途分固定资产投资支出 按用途分市政公用设施建设维护与管理 省份 城市.xlsx
06-22
数据含省份、行政区划级别(细分省级、地级市、县级市)两个变量,便于多个角度的筛选与应用 数据年度:2002-2022 数据范围:全693个地级市、县级市、直辖市城市,含各省级的汇总tongji数据 数据文件包原始数据(由于多年度指标不同存在缺失值)、线性插值、回归填补三个版本,提供您参考使用。 其中,回归填补无缺失值。 填补说明: 线性插值。利用数据的线性趋势,对各年份中间的缺失部分进行填充,得到线性插值版数据,这也是学者最常用的插值方式。 回归填补。基于ARIMA模型,利用同一地区的时间序列数据,对缺失值进行预测填补。 包含的主要城市: 通州 石家庄 藁城 鹿泉 辛集 晋州 新乐 唐山 开平 遵化 迁安 秦皇岛 邯郸 武安 邢台 南宫 沙河 保定 涿州 定州 安国 高碑店 张家口 承德 沧州 泊头 任丘 黄骅 河间 廊坊 霸州 三河 衡水 冀州 深州 太原 古交 大同 阳泉 长治 潞城 晋城 高平 朔州 晋中 介休 运城 永济 .... 等693个地级市、县级市,含省级汇总 主要指标:
Optimise Linux system performance on demand.zip
06-22
Linux是一套免费使用和自由传播的类Unix操作系统,由林纳斯·托瓦兹于1991年首次发布。 Linux不仅是一个强大的操作系统,也是一个庞大的技术生态系统,涵盖了从服务器到个人电脑的各种应用场景。同时,它的开源特性和广泛的社区支持使其成为技术发展的重要推动力。在了解Linux的过程中,人们不仅能够看到其强大的技术基础和广泛的应用领域,还能体会到它作为开源先锋在全球科技发展中的重要地位。
掌握编程艺术:电脑编程领域全解析
06-22
电脑编程,或称软件开发,是指使用编程语言来创建计算机软件的过程。这是一种让计算机执行特定任务的技艺,涉及到编写代码来指示计算机如何操作数据、执行计算、处理输入和输出等。 ### 编程的基本组成: 1. **编程语言**:一种用于定义计算机程序的语法和结构的系统,如 Python、Java、C++、JavaScript 等。 2. **算法**:一系列定义明确的计算步骤,用于解决问题或执行任务。 3. **数据结构**:组织、管理和存储数据的方式,如数组、链表、树、图等。 4. **逻辑**:程序中用于决策和控制流程的逻辑结构,如条件语句、循环等。 5. **函数/方法**:一段具有特定功能的代码块,可以重复调用。 6. **变量**:程序中用于存储数据值的容器。 7. **输入/输出**:程序接收用户或其他系统输入,以及向用户或其他系统发送输出的过程。 8. **错误处理**:程序中处理异常和错误的机制。 9. **调试**:查找和修复代码中错误的过程。 10. **版本控制**:管理代码变更和多人协作的工具,如 Git。
rbac权限管理设计
07-27
RBAC权限管理设计是一种通过对不同的用户分配拥有不同权限点的操作来实现权限管理的方法。系统中的权限点必须是程序员已经开发出来的功能,不能随意添加。角色的权限点可以根据实际情况由系统管理员进行添加和删除。用户和角色是一对多的关系,一个用户可以拥有多个角色,从而具备多个角色的权限RBAC权限管理设计包括动态添加路由配置、RBAC组成、RBAC支持的安全原则以及RBAC的优缺点。动态添加路由配置是为了实现根据用户的权限动态生成左侧菜单。RBAC支持的安全原则包括最小权限原则、责任分离原则和数据抽象原则。最小权限原则指的是将角色配置成完成任务所需的最小权限集合,责任分离原则可以通过调用相互独立互斥的角色来共同完成敏感的任务,数据抽象原则可以通过权限的抽象来体现。RBAC的优点包括灵活性高、易于管理和维护,而缺点则包括复杂性高和实施难度大。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [后台系统中RBAC权限设计(详)](https://blog.csdn.net/weixin_58384302/article/details/121087320)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [RBAC权限管理设计](https://blog.csdn.net/weixin_47274607/article/details/121142338)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值