权限模型深度解析:RBAC vs ABAC vs PBAC vs TBAC,如何选择最适合的方案?

已于 2025-02-16 19:19:55 修改
阅读量776 收藏 5
点赞数 5
分类专栏: 夜后端 页架构 文章标签: 权限模型 角色体系
于 2025-02-16 19:16:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h_midnight/article/details/145668294
版权

在数字化系统的安全架构中,权限管理如同一把“隐形钥匙”,既需精准控制访问边界,又要灵活适配复杂多变的业务需求。从传统的角色划分到动态属性策略,从合规驱动的集中管控到任务流程的临时授权,RBAC、ABAC、PBAC、TBAC 等权限模型各自闪耀着独特的设计哲学。然而,面对海量用户、异构资源与实时环境的多维挑战,开发者与架构师们常陷入两难:如何在安全性与灵活性之间找到平衡?如何避免“过度设计”或“权限漏洞”?

本文将以实战视角,拆解四大权限模型的核心逻辑、适用场景与潜在陷阱,助你在纷繁的技术选项中锚定最佳方案——无论是构建高并发的云原生应用,还是优化企业内部流程系统,让权限管理不再是“绊脚石”,而是驱动业务安全的隐形引擎

1. RBAC(基于角色的访问控制)

  • 核心思想:通过角色(Role)作为中间层关联用户和权限,用户通过分配角色间接获得权限。
  • 特点
    • 结构清晰,易于管理,适合静态权限分配。
    • 权限与角色绑定,角色间可继承(如角色层级)。
  • 适用场景
    • 组织结构稳定的系统(如企业内部OA、ERP)。
    • 权限需求相对固定的场景(如医院系统按医生、护士角色分配权限)。
  • 局限性
最低0.47元/天 解锁文章
应对“角色爆炸”,PBAC 真香!
vagerdwely的博客
03-16 1387
基于角色的访问控制(RBAC)是一种根本上有缺陷的方法,用于管理组织中的用户身份和访问权限RBAC的固有弱点在于它的笨拙性,对手动输入的依赖以及对维护的持续需求。所有这些因素共同构成了风险高且漏洞百出的系统。 解决由RBAC引起的问题的方法是基于策略的访问控制系统(PBAC)。 美国国家标准与技术研究所(NIST)发表的一篇题为《访问控制模型调查》的论文称:“PBAC是一种新兴的模型,旨在帮助企业解决基于抽象策略和治理要求实施具体访问控制的需要。” 可管理性 RBAC的问题在于它不是一个自动的过程,这.
权限系统的设计模式 ACL RBAC ABAC
热门推荐
m0_37163942的博客
11-02 2万+
ACL(Access Control List):访问权限列表  如:   user1-->AC1 user1-->AC2 user2-->AC1    此时权限汇总成一个列表 这种设计常见的应用就是文件系统的权限设计,如微软的NTFS 对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户 RBAC(Role Base A...
访问控制模型ACL和RBAC
Laurence的技术博客
06-30 2万+
1.ACL  ACL是早也是基本的一种访问控制机制,它的原理非常简单:每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行CRUD中的那些操作。当系统试图访问这项资源时,会首先检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。总得来说,ACL是一种面向资源的访问控制模型,它的机制是围绕“资源”展开的。  The relative simplic
RBAC vs ABAC
charly
02-22 4679
RBAC(Role-based Access Control) 基于角色权限控制 其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色权限变更比用户的权限变...
RBAC权限模型
lin888555的博客
01-16 642
RBAC权限模型什么是RBAC权限模型RBAC支持公认的安全原则责任分离(动态责任分离和动态责任分离) 什么是RBAC权限模型 PBAC是基于角色访问权限的控制。 简单来说就是谁(who)能对什么(what)进行什么样的操作。 who、what、how构成了访问权限三元组。 RBAC支持公认的安全原则 PBAC支持权限原则、责任分离原则、数据抽象原则。 1.权限原则指的是被分配角色权限不得高于权限分配的角色。; 2.责任分离原则指的是你可以指定责任上两个互相约束的角色来完成敏感性的工作,比如在考试中
myAcl权限系统:深入权限分配与管理
描述部分提到“各种权限分配”,这意味着项目不仅涵盖基础的用户权限分配,可能还包含了更复杂的权限模型和场景。例如: 1. 基于角色的访问控制(RBAC):通过定义角色来划分权限,并将角色赋予不同的用户。用户...
权限管理艺术】:3大策略彻底掌控文档安全系统中的用户权限
接着,文章详细讨论了访问控制模型的基础理论与应用,包括自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。文章还强调了权限审计与合规性的重要性,探讨了权限变更管理的流程和风险评估。...
云计算访问控制技术研究综述.pdf
07-18
2. 基于角色的访问控制(Role-Based Access Control, RBAC):通过定义不同角色权限,将用户分配到相应的角色中,以实现权限管理。这种方式提高了管理的灵活性,易于扩展。 3. 基于属性的访问控制(Attribute-...
JeeSite4.x 数据权限
05-30
免费试听地址:B站搜索JeeGit观看《JeeSite4.x数据权限教程》、《JeeSite1.2.7系列基础教程》、《JeeSite4.x系列基础教程》等相关课程! 郑重声明:购课前,请认真听完第一章 课程简介 建议实战人群直接听:第九章、第十章 学生人群、刚入门:全听       数据权限主要讲解内容包含第一章 课程简介31.1 课程目标31.2 适用人群31.3 课程简介31.4 环境要求31.5 课程知识点大全31.6 课程售价31.7 购课声明31.8 资源清单31.9 售后方式41.10 讲师介绍4第二章 权限基础42.1 权限模型概述4第三章 JeeSite权限管理模型123.1 JeeSite1.2.7 权限管理模型123.2 JeeSite4.x 权限管理模型123.3 JeeSite4.x权限设计的扩展13第四章 用户管理144.1 JeeSite4.x内置用户类型144.1.1 用户管理思路144.1.2 网站会员、员工、单位、个人登录视图配置154.2 用户数据权限类型164.3实战训练、调试、日志查看16第五章 机构管理16第六章 角色管理186.1 JeeSite4.x角色管理概述186.2 JeeSite4.x越级授权与菜单权重186.3 JeeSite4.x 越级授权可能存在的隐患极其解决方案196.4用户表如何区分非管理员、系统管理员、二级管理员206.5 角色权限注意事项206.6 角色授权数据范围使用注意事项216.7 为何用户不设置员工权限无效?236.8 岗位管理与角色分类的岗位分类与角色分类有何区别?23第七章 二级管理员23第八章 系统管理员238.1 系统管理员238.2 总结:何时使用超级管理员、系统管理员、二级管理员?23第九章 Jeesite数据权限调用239.1 JeeSite4.x数据调用基础239.2 JeeSite4.x 实现数据列权限推荐解决方案249.3多数源模式下数据权限bug简易解决方案249.4 JeeSite4.x 自定义扩展数据权限249.5支持全球地区、全球企业、全球机构、全球部门授权24第十章 JeeSite数据权限实战2410.1 案例一2410.2 案例二2410.3 案例三2510.4 案例四2510.5 案例五25第十一章 JeeSite4.x常见问题解答251.1数据权限管理的代码会公开吗,购买了能看吗?251.2 JeeSite数据权限教程是Thinkgem录制的吗?25第十二章 参考阅读2612.1、JeeSite官方文档2712.2、美国国家标准与技术研究院2712.3、中国国家标准化管理委员会2712.4、ITSEC欧洲安全评价标准2812.5、百度学术2812.6、开源框架2912.6.1 JeeSite2912.6.2 Casbin2912.6.3 Eladmin2912.6.4 Spring-boot-demo2912.6.5 Jeeplatform3012.6.6 Pig3012.6.7 Jeecg-boot3012.6.8 Jfinal3012.6.9 Guns3112.6.10 Zheng3112.6.11 Cloud-Platform3112.7 博文资源31
访问控制、RBACABAC模型
最新发布
dreamsofa的专栏
11-06 754
ABAC 的思想基于属性的、可扩展的、可灵活定制的一种访问控制规则引擎、类似如groovy、drools、js等执行引擎可以作为规则引擎的一种实现方式。而基于关系型数据库的数据控制可以将访问策略转换为SQL的属性查询条件, 如对象A的创建者可读策略对应的检查条件可能为:where A.creatorId=Subject.id。
权限系统设计模型分析(DAC,MAC,RBACABAC
勇往直前的专栏
10-08 7187
此篇文章主要尝试将世面上现有的一些权限系统设计做一下简单的总结分析,个人水平有限,如有错误请不吝指出。 术语 这里对后面会用到的词汇做一个说明,老司机请直接翻到常见设计模式。 用户 发起操作的主体。 对象(Subject) 指操作所针对的客体对象,比如订单数据或图片文件。 权限控制表 (ACL: Access Control List) 用来描述权限规则或用户和权限之间关系的数据表...
PBAC相对于传统ABAC的优势
vagerdwely的博客
03-15 2780
厌倦了为数百个用户、管理数千个角色的IAM经理和架构师,需要一种更好的方式来控制对企业的访问。传统的基于角色的访问控制方法有很多弱点,遗留用户太多,并且容易受到“角色爆炸”的影响。需要新的方法,允许特定用户在特定时间访问特定内容。 通常考虑的第一种解决方案是基于属性的访问控制(ABAC)。ABAC是一种细粒度的访问管理方法,其中,基于已分配给用户,操作,资源或环境的已定义规则,决定批准或拒绝对特定信息的访问请求。 例如,在银行的日常工作时间内,当从分支机构的IP地址提供客户的身份证和他们的帐号时,银行出纳
RBAC的介绍和快速使用
Yietong的博客
10-14 1655
这就极大地简化了权限的管理, 这样管理都是层级相互依赖的, 权限赋予给角色,儿把角色又赋予用户,这样的权限设计很清楚,管理起来也方便。本来是5张表,django是6张表,用户和权限的多对多关系表【一个用户可以分配多个权限,一个权限可以给多个用户】权限是授予角色【部门】的,一个个角色,就是一条条记录【开发,hr,股东】权限角色相关联, 用户通过成为适当角色的成员而得到这些角色权限。用户表,角色表,权限表,用户和角色关联表,角色权限关联表。角色权限》》多对多,有一个中间表。现在已经有了5张表》》
Spring Security 中如何细化权限粒度?
江南一点雨的专栏
09-16 4047
有小伙伴表示微人事(https://github.com/lenve/vhr)的权限粒度不够细。不过松哥想说的是,技术都是相通的,明白了 vhr 中权限管理的原理,在此基础上就可以去细化权限管理粒度,细化过程和还是用的 vhr 中用的技术,只不过设计层面重新规划而已。 当然今天我想说的并不是这个话题,主要是想和大家聊一聊 Spring Security 中权限管理粒度细化的问题。因为这个问题会涉及到不同的权限管理模型,今天和小伙伴们聊一聊~ 1.权限管理模型 要想将细化权限粒度,我们不可避免会涉及到一些权限
权限设计,设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC
qq_40861800的博客
07-09 3820
权限设计,设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC:角色权限控制
权限管理中的RBACABAC
hhhhhhhhhhhhhhhc的博客
07-21 6137
权限管理中的RBACABAC
RBAC权限系统分析、设计与实现
05-06 546
近,因为项目上需要设计实现一个权限管理模块,所以专门整理总结了RBAC的一些知识。 目前,使用普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这篇文章也主要是介绍基于RBAC权限管理系统,我会从RBAC是什么、如何设计RBAC两部分来介绍。 一、RBAC是什么 1、RBAC模型概述 RBAC模型(Role-Based Access Control:基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,但其实在20世纪70年代的多用户计算时期,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_midnight

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值