再谈 RBAC 之简介和概念

最新推荐文章于 2022-06-16 09:51:47 发布
最新推荐文章于 2022-06-16 09:51:47 发布
阅读量1k 收藏
点赞数
分类专栏: 通用功能

RBAC 简介
  基于角色的访问控制(Role-Based Access Control)引入了 Role 的概念,目的是为了隔离 User(即动作主体,Subject)与 Privilege (权限,表示对 Resource 的一个操作,即 Operation+Resource)。
  Role 作为一个用户(User)与权限(Privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予 Role 而不是直接给 User 或 Group。Privilege 是权限颗粒,由 Operation 和 Resource 组成,表示对 Resource 的一个 Operation。例如,对于新闻的删除操作。Role-Privilege 是 many-to-many 的关系,这就是权限的核心。
  基于角色的访问控制方法(RBAC)的显著的两大特征是:1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
RBAC基本概念
  RBAC 认为权限授权实际上是 Who、What、How 的问题。在 RBAC 模型中,who、what、how 构成了访问权限三元组,也就是“Who 对 What(Which)进行 How 的操作”。
  Who:权限的拥用者或主体(如 Principal、User、Group、Role、Actor 等等)
  What:权限针对的对象或资源(Resource、Class)。
  How:具体的权限(Privilege,正向授权与负向授权)。
  Operator:操作。表明对 What 的 How 操作。也就是 Privilege+Resource
  Role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离 User 与 Privilege 的逻辑关系.
  Group:用户组,权限分配的单位与载体。权限不考虑分配给特定的用户而给组。组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限。User 与 Group 是多对多的关系。Group 可以层次化,以满足不同层级权限控制的要求。
  RBAC 的关注点在于 Role 和User, Permission 的关系。称为 User assignment(UA) 和 Permission assignment(PA).关系的左右两边都是 Many-to-Many 关系。就是 user 可以有多个 role,role 可以包括多个 user。
  凡是用过 RDBMS 都知道,n:m 的关系需要一个中间表来保存两个表的关系。这 UA 和 PA 就相当于中间表。事实上,整个 RBAC 都是基于关系模型。
  Session 在 RBAC 中是比较隐晦的一个元素。标准上说:每个 Session 是一个映射,一个用户到多个 role 的映射。当一个用户激活他所有角色的一个子集的时候,建立一个 session。每个 Session 和单个的 user 关联,并且每个 User 可以关联到一或多个 Session.
  在 RBAC 系统中,User 实际上是在扮演角色(Role),可以用 Actor 来取代 User,这个想法来自于 Business Modeling With UML 一书 Actor-Role 模式。考虑到多人可以有相同权限,RBAC 引入了 Group 的概念。Group 同样也看作是 Actor。而 User 的概念就具象到一个人。
  这里的 Group 和 GBAC(Group-Based Access Control)中的 Group(组)不同。GBAC 多用于操作系统中。其中的 Group 直接和权限相关联,实际上 RBAC 也借鉴了一些 GBAC 的概念。
  Group 和 User 都和组织机构有关,但不是组织机构。二者在概念上是不同的。组织机构是物理存在的公司结构的抽象模型,包括部门,人,职位等等,而权限模型是对抽象概念描述。组织结构一般用 Martin fowler 的 Party 或责任模式来建模。
  Party 模式中的 Person 和 User 的关系,是每个 Person 可以对应到一个 User,但可能不是所有的 User 都有对应的 Person。Party 中的部门 Department 或组织 Organization,都可以对应到 Group。反之 Group 未必对应一个实际的机构。例如,可以有副经理这个 Group,这是多人有相同职责。
  引入 Group 这个概念,除了用来解决多人相同角色问题外,还用以解决组织机构的另一种授权问题:例如,A 部门的新闻我希望所有的 A 部门的人都能看。有了这样一个 A 部门对应的 Group,就可直接授权给这个 Group。

Allen----Liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【设计模式】RBAC 模型详解_rbac模式,知识点总结+面试题解析
m0_61331573的博客
04-09 1352
随着软件系统的复杂性和规模的不断增长,权限管理成为了一个至关重要的问题。在大型多人协作的系统中,如何有效地管理不同用户的访问权限,确保系统的安全性和稳定性,是每一个开发者都需要面对的挑战。为了解决这一问题,业界提出了一种被广泛应用的权限管理模型——基于角色的访问控制(Role-Based Access Control,简称RBAC)。希望通过本篇博客的学习,您能够深入了解RBAC模型的核心思想和实现原理,掌握如何在实际项目中应用RBAC模型来提高系统的安全性和可维护性。
RBAC简介
weixin_44251806的博客
02-02 806
RBAC,Redis
RBAC原理介绍及kasai使用分析
vagrantscat的专栏
07-02 964
RBAC 模型作为目前最为广泛接受的权限模型。而Kasai是基于Java开发的开源RBAC软件,网上很多关于Kasai的介绍都仅仅是局限于一些低层次的新闻介绍性质的。而对于该软件的使用以及它与RBAC模型的关系却是很少涉及。这也是我写此片文章的初衷。 Kasai的官方网址:http://kasai.manentiasoftware.com/ NIST
用户·角色·权限·表的设计
u013595377的专栏
05-15 2万+
一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。        权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 二.设计目标        设计一个
基于角色的访问控制(RBAC)演进历史、设计理念及简洁实现
u012516914的专栏
09-19 795
很多系统(例如 Kubernetes、AWS)都在使用某种形式的 RBAC 做权限/访问控制。本文基于 access control 的发展历史,从设计层面分析了 DAC -> MA...
kubernetes安全:RBAC,Security Context,PSP,准入控制器
阿白,
04-29 4386
文章目录RBAC 权限控制前言API 对象RBAC只能访问某个 namespace 的普通用户创建用户凭证创建角色创建角色权限绑定测试只能访问某个 namespace 的 ServiceAccount可以全局访问的 ServiceAccountSecurity Context为 Pod 设置 Security Context为容器设置 Security Context设置 Linux Capabilities什么是 Capabilities如何使用 CapabilitiesDocker Container
RBAC简介_动力节点Java学院整理
09-09
RBAC简介RBAC,全称为基于角色的访问控制(Role-Based Access Control),是一种广泛应用于现代系统安全中的权限管理机制。它通过定义不同角色并分配相应的权限,实现了对用户访问系统的精细控制,确保了数据...
Yii2 rbac权限控制之rule教程详解
10-22
主要介绍了Yii2 rbac权限控制之rule教程详解的相关资料,非常不错具有参考借鉴价值,需要的朋友可以参考下
rbac:用于Laravel 8缓存和权限组的简单RBACACL
05-06
Laravel RBAC 适用于Laravel 8及更高版本的简单RBAC / ACL,具有缓存权限和权限组,以​​提供更好的便利性。的角色权限权限组安装使用以下命令通过composer安装此软件包: composer require yaroslavmolchan/rbac...
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制(RBAC)模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过...
Yii2 rbac权限控制之菜单menu实例教程
01-20
在上篇文章给大家介绍了yii2搭建完美后台并实现rbac权限控制实例教程中完美实现了yii2的后台搭建和rbac权限控制,如果你还没有实现,请先看上文再回来参考本文,因为本文是在上文的基础上进行完善和补充。...
rbac数据库设计 mysql_基于角色的权限管理数据库设计(RBAC) | 学步园
weixin_29288653的博客
02-11 183
use [master]go-- 检查数据库 [RBAC]是否存在,如果存在则删除(只测试用,不然会丢数据.)-- Search from the sysdatabase to see that if the [RBAC] database exist.-- If exists then drop it else create it.if exists(select * from sysdatab...
RBAC权限模型
java的涟漪
10-24 103
基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而 得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以 很容易地从一个角色被指派到另一个角色。角色可依新的需...
六,RBAC简介
weixin_42688085的博客
06-16 2246
RBAC(基于角色的权限控制 role base access control)是一种设计模式,是用来设计和管理权限相关数据的一种模型 RBAC权限数据的管理,都是重复的CRUD的操作,这里我们就不再重复的从0到1开发,我们只是把模块中需要注意的逻辑和代码讲一下,重复代码不再复述 RBAC模式:基于角色的访问控制,表结构如下: 用户列表 用户添加修改 角色列表 角色修改 菜单列表 菜单修改 菜单不同于单表管理,是一个树状表结构管理,这里我们重点关注菜单(树状表结构的数据)的增删改查这里我们直接导入素
RBAC权限概念
corleone_4ever的博客
01-31 832
一、RBAC基础 0. 前言 最近刚参与设计完角色权限的第二版,趁着还有些印象,赶紧来总结下,省的以后忘记了。 1. 什么是RBAC?   RBAC(Role-Based Access Control),基于角色的访问控制,就是用户通过角色与权限进行关联,通俗的说,就是一个用户有多个角色,每个角色又有多个权限,这样就构成了用户-角色-权限的一种模型。在这种模型中,用户与角色之间,角色与权限...
yii2的权限管理系统RBAC简单介绍
weixin_30549657的博客
06-17 169
这里有几个概念 权限: 指用户是否可以执行哪些操作,如:编辑、发布、查看回帖 角色 比如:VIP用户组, 高级会员组,中级会员组,初级会员组 VIP用户组:发帖、回帖、删帖、浏览权限 高级会员组:发帖、回帖、浏览权限 中级会员组:回帖、浏览权限 初级会员组:浏览 在Yii2.0中 yii\rbac: Item为角色或者权限的基类,其中用字段type来标识。1代表角...
PaaS平台——多租户的RBAC权限管理(一)基本概念
Guo ang 的专栏
08-28 2万+
PaaS平台下多租户的RBAC权限管理 本篇文章为第一章,介绍公司、体系结构、组织机构、角色、用户、域、帐号、帐号关联、应用、资源、权限对象等基本概念
Openresty最佳案例 | 第8篇:RBAC介绍、sql和redis模块工具类
热门推荐
方志朋的专栏
11-23 3万+
RBAC介绍RBAC(Role-Based Access Control,基于角色的访问控制),用户基于角色的访问权限控制。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多的关系。如图所示:sql_tool在本案例中,采用的就是这种权限设计的方式。具体的sql语句脚本如下:CREATE
什么是RBACRBAC的区别?
最新发布
06-05
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写,它是一种常见的权限管理模型,用于组织中分配权限给用户或系统进程。在RBAC模型中,用户不是直接被赋予操作权限,而是根据他们所在的岗位或角色(Role)来决定他们能够访问哪些资源和执行哪些操作。 RBAC的主要组成部分包括以下几个要素: 1. 用户(User):实际操作系统的实体。 2. 角色(Role):一组相关的权限集合,用户可能拥有多个角色。 3. 权限(Permission):对特定资源或操作的访问能力。 4. 资源(Resource):需要保护的系统组件,如文件、数据库、功能等。 RBAC的几种常见形式有: - 不分层RBAC:简单的权限分配,角色之间没有层级关系。 - 层次化的RBAC:角色之间存在层次结构,如高级管理员角色可能包含低级管理员的角色权限。 - 基于策略的RBAC:除了角色,还考虑用户的个人需求或上下文信息来分配权限。 区别: 1. 简单性 vs. 复杂性:不区分层次的RBAC更简单,而层次化的模型可能需要更多维护复杂性。 2. 扩展性:层次模型更容易随着组织结构的变化进行调整,而简单模型可能需要频繁调整权限。 3. 灵活性:基于策略的RBAC可以根据具体情况进行个性化权限分配,但可能需要更强的策略管理和审计能力。 4. 管理效率:层次模型可能提高管理效率,因为权限集中,但在大型组织中可能难以理解和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值