常见的权限模型(ACL、DAC、MAC、RBAC)和权限测试策略

最新推荐文章于 2023-07-24 14:45:51 发布
最新推荐文章于 2023-07-24 14:45:51 发布
阅读量1.3w 收藏 60
点赞数 14
文章标签: 业务流程测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hi_bigbai/article/details/120868485
版权

常见的权限模型

1、ACL 访问控制列表
定义:规定资源可以被哪些主体进行哪些操作。
在ACL权限模型下,权限管理是围绕资源来设定的。我们可以对不同的页面设定可以访问的用户

2、DAC 自主访问控制
定义:规定资源可以被哪些主体进行哪些操作。同时,主体可以将资源、操作的权限,授予其他主体
在ACL的基础上,DAC模型将授权的权力下放,允许拥有权限的用户,可以自主地将权限授予其他用户。

3、MAC 强制访问控制
定义:当一个操作,同时满足a与b时,允许操作
		a. 规定资源可以被哪些类别的主体进行哪些操作
	 	b. 规定主体可以对哪些等级的资源进行哪些操作 
MAC是ACL的另一种实现,强调安全性。MAC会在系统中,对资源与主体,都划分类别与等级。比如,等级分为:秘密级、机密级、绝密级;类别分为:军事人员、财务人员、行政人员。
MAC的优势就是实现资源与主体的双重验证,确保资源的交叉隔离,提高安全性。
4、RBAC 基于角色的访问控制
定义:当一个操作,同时满足a与b时,允许操作。
	a. 规定角色可以对哪些资源进行哪些操作 
	b. 规定主体拥有哪些角色 
RBAC的思想,来源于现实世界的企业结构。比如,销售角色,拥有查看客户信息的权限。当一个销售人员小王入职了,可以把销售角色赋予小王,那么小王就拥有了查看客户的权限。这种方式,避免了ACL模型下,每次新人入职,需要逐个配置资源表的情况。同样,权限变动也变得很方便,只要修改角色,即可实现多用户的权限修改。

5、ABAC 基于属性的访问控制
定义:规定哪些属性的主体可以对哪些属性的资源在哪些属性的情况下进行哪些操作
	 ABAC其中的属性就是与主体、资源、情况相关的所有信息。
	主体的属性:指的是与主体相关的所有信息,包括主体的年龄、性别、职位等。
	资源的属性:指的是与资源相关的所有信息,包括资源的创建时间、创建位置、密级等。
	情况的属性:指的是客观情况的属性,比如当前的时间、当前的位置、当前的场景(普通状态、紧急状态)。
	操作:含义还是一样,比如增删改查等。
	设定一个权限,就是定义一条含有四类属性信息的策略(Policy)。

一个请求会逐条匹配策略,如果没有匹配到策略,则返回默认效果,默认效果可以根据场景定制,可以是默认拒绝或是默认允许。另外,匹配方式也可以根据场景定制,可以使用逐条顺序匹配,匹配到策略直接返回。也可以使用完全匹配,匹配所有的策略,如果有一个拒绝(允许),则拒绝(允许)。

举例:文件权限模型

1、linux文件权限系统(DAC模型)

请添加图片描述

2、某企业网盘(RBAC模型)

  • 授权对象为文件夹,可继承

  • 预设权限模版请添加图片描述

  • 可以给账号、角色、部门授权

    • 同一个人从多个纬度被授权时,取权限的并集
    • 禁止访问,优先高于一切原子权限

测试范围

RBAC模型验证

简单场景:

  • 预设权限模版中的各原子权限正常
  • 针对文件夹给账户授权后权限操作正常
  • 以角色或者部门为单位授权后权限操作正常
基于RBAC结合业务逻辑
  • 资源(文件夹)
文件夹上下级关系联动
	权限继承
	当前授权和继承授权的冲突
文件夹变更
	文件夹删除与恢复
	文件夹移动(上下级关系变动)
	文件夹内子文件夹新增
  • 角色(角色/部门)
账号和角色关系变更
	移入和移除角色或部门
	部门是否有继承逻辑
同时有多重维度的授权
	取权限的并集

  • 预设权限模版

    模版变更,小概率事件

非功能测试
  • 性能测试
资源量级大
	eg:一级目录根目录中文件夹过多,计算当前账户需要对哪些文件夹可见时,计算压力大
	eg:某文件夹层级深度大时,计算某账号的继承权限,或者上下级关系变动重新继承时,计算压力大
角色量级大
	eg:某个文件夹的授权记录特别多,计算授权范围时,计算压力大
	eg:某个文件夹的授权管理复杂,当前账户计算权限取并集时,计算压力大
热点数据
	当使用缓存提高响应速度时,注意会存在热点数据,避免缓存击穿
	热点文件夹
	热点账号
  • 安全越权测试
前端越权
	无权限的页面,通过URL也无法访问
	无权限的操作,交互入口应该不展示
	无权限的数据,在列表中也不会展示
	权限限制需要前后端都做限制,接口鉴权也是要有的
横向越权
	尝试访问同级别的无权限数据,通过遍历id或者伪造请求等方式
		eg:访问其他未授权文件夹内的数据
纵向越权
	尝试访问当前权限范围,但是未授权的字段或者敏感信息
		eg:查看部门成员信息,试图查看薪酬等隐私信息

白面贼
关注
  • 14
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java常见面试问题.docx
06-03
1.ribbon 负载均衡 项目客户端的负载均衡采用ribbon,去看一看ribbon怎么配置的 2.服务端的负载均衡采用zuul Zuul是需要配置用户名和密码的,频道访问zuul是需要携带用户名密码的 3.Springboot的自动配置是怎么实现的? 4.库存并发控制采用什么方法?离线乐观锁 5.Jms两种消息机制? 点对点、发布订阅 6.Rbac? 用户角色权限设计 7.Shiro用到了那些功能及原理? Shiro缓存用户权限了解一下 8.Svn和git的区别? https://blog.csdn.net/walle167/article/details/84235823 9.Quartz的定时调度是怎么实现的?定时调度流程? Wait、notify 实现job类,设置触发器 放到调度器中 start 10.Springboot是怎么整合quartz的? 11.Rides的几种数据类型及应用场景? 12.工作流 activety? 13.禅道的使用 14.Cron表达式多看看 15.父子模型 16.消息补偿:其实就是指轮循订单 17.幂等性 18.Mysql存储过程
【JavaWeb】你这么厉害,知道RBAC权限模型和ABAC权限模型吗?
墩墩分墩
09-22 992
**ABAC(Attribute Base Access Control)** - 基于 `属性`的权限控制不同于常见的将用户通过某种方式关联到权限的方式,ABAC则**是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断**(可以编写简单的逻辑)。 - 属性通常来说分为四类:`用户属性(如用户年龄)`, `环境属性(如当前时间)`, `操作属性(如读取)和对象属性`,所以理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求。
单点登录三:添加RBAC权限校验模型功能理解及实现demo
qq_35515283的博客
05-24 1385
结合前面我写的两篇帖子,这里学习了一下RBAC模型,并且整理了一个demo,能够实现一个简单的无侵入的登录及权限控制方案。这里用到springSecruity、jwt、redis、mysql、threadLocal等技术
基于Java的权限管理系统设计论文
09-06
随着信息技术的快速发展,信息安全已成为人们高度关注的问题,特别是在 企事业的信息系统管理中,针对资源共享而引出的访问控制技术也得到了广泛的 研究。本课题在对信息系统的权限管理相关理论和方法进行研究的基础上,通过 比较几种常见的访问控制方式的优缺点,目前信息系统的权限管理的需求进行分 析。本文结合公司的基础技术平台的典型应用需求为背景,初步探索了访问控制 的理论、方法以及基本流程,并在此基础上设计了权限管理系统的架构模型,实 现了简单的原型系统,给出了系统的应用实例。论文完成的主要工作如下: (1)在访问控制技术理论研究的基础上,本文对权限管理系统的功能进行了 详细的需求分析,设计了权限管理的系统架构,对系统的各个功能模块进行了详 细设计,分为角色管理,部门管理,用户管理。 (2)在 Windows 环境下采用 Java 编程语言实现了权限管理架构的原型系 统,并初步对其原理的可行性进行测试,给出了应用实例。该系统可以作为其他 信息系统的一个子系统,能辅助管理人员完成系统的安全访问控制。通过对原型 系统的实验分析,初步验证了本文所提出的方法以及系统设计方案的有效性和正 确性。
NCV6X-语义模型红皮书.docx
01-13
NC6系列UAP语义模型技术红皮书 第一章 前言 4 1.1 概念 5 1.2 定位 5 第二章 结构 6 2.1 应用模型 7 2.2 语义模型 7 2.2.1 定义形态 7 2.2.2 执行流程 9 2.2.3 数据形态 10 2.3 语义提供者 10 2.3.1 接口 11 2.3.2 扩展 14 2.4 函数 17 2.4.1 函数解析 17 2.4.2 函数扩展 17 2.5 参数 20 2.5.1 参数定义 20 2.5.2 参数引用 20 2.5.3 参数设置 20 2.5.4 参照依赖 21 2.5.5 自定义参照 21 2.6 宏变量 22 2.7 描述器 23 2.8 数据加工 24 2.8.1 概念 24 2.8.2 定位 24 2.8.3 执行原理 25 2.8.4 使用 25 2.8.5 常见问题 27 2.9 物化策略 27 2.10 复合语义模型 27 2.10.1 设计向导方式 28 2.10.2 语义脚本方式 29 2.11 语义上下文 31 2.12 脚本规则 31 2.12.1 实现规则类 32 2.12.2 配置文件注册 32 2.12.3 操作使用 33 第三章 语义模型管理 35 3.1 对象管理 36 3.1.1 目录管理 36 3.1.2 语义模型管理 37 3.1.3 监控 37 3.1.4 权限 38 3.1.5 全局变量配置 38 3.2 环境配置 39 3.3 导入导出 41 3.3.1 导出逻辑 41 3.3.2 导入逻辑 43 第四章 功能扩展 47 4.1 扩展语义提供者 48 4.2 扩展业务函数 48 4.3 使用数据加工 48 4.4 自定义执行策略 48 4.5 业务规则扩展 49 4.6 元定义驱动扩展 49 4.6.1 接口 50 4.6.2 实现 50 4.6.3 配置文件 50 4.6.4 使用 51 第五章 范例 52 5.1 脚本中引用参数范例 53 第六章 附录 57 6.1 入门 58 6.2 语义模型API 63 6.3 语义函数 65 6.4 其他函数 65 6.5 脚本引擎 66 6.6 针对查询引擎的改进 67 6.7 性能监控 67 6.8 多语言支持 68
软件开发的权限系统功能模块设计,分享主流的九种常见权限模型
QC班长的博客
03-13 5312
软件系统的权限控制几乎是非常常见且必备的,这篇文章整理下常见的五种模型,几乎基本够你用了,主流的权限模型主要有以下9种:1、ACL模型访问控制列表2、DAC模型自主访问控制3、MAC模型强制访问控制基于属性的访问控制,更灵活复杂5、RBAC模型基于角色的权限访问控制,最常用6、TBAC模型基于任务和工作流的访问控制7、T-RBAC模型基于任务和角色的访问控制8、OBAC模型基于对象的访问控制9、UCON模型使用控制模型
超级全面的权限系统设计方案
Java笔记虾
09-23 3267
权限系统设计 前言 权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。 目前在公司负责权限这块,所以对权限这块的设计比较熟悉,公司采用微服务架构,权限系统自然就独立出来了,其他业务系统包括商品中心,订单中心,用户中心,仓库系统,小程序,多个APP等十几个系统和终端 1....
【概念】权限管理模型RBAC、ABAC、ACL
颜淡慕潇
10-13 8759
这三种权限管理模型,也可以说是设计理念;在web后端的开发中都是以用户为主体,构建起来都较为简单。当然,它们各自都有优缺,只是两权相难取其轻,具体开发过程中还需要权衡开发成本而选择。
浅聊权限模型
zhangkaixuan456的博客
07-24 589
权限相关术语英文名称中文名称描述Subject主体通常是用户或用户组Object对象权限所作用的对象,通常指各类资源Action操作对Object的操作,如:创建、删除、查询、修改等Effect结果/效力规则匹配后的限制操作,如:Allow/ DenyCondition限制条件权限生效的条件Permission权限用来指代是否允许某人在某种条件下对某种资源做某种操作Role角色权限集合,包含一个或多个权限(Permission)Policy策略
RBAC权限模型
qq_36350266的博客
02-25 2394
一、前言 权限一句话来理解就是对资源的控制,对web应用来说就是对url的控制,关于权限可以毫不客气的说几乎每个系统都会包含,只不过不同系统关于权限的应用复杂程序不一样而已,现在我们在用的权限模型基本上都是以RBAC为基础进行扩展的,我们今天就将RBAC权限模型进行下介绍。 二、RBAC模型 RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what...
JFinalUIB数据库权限管理系统.rar
07-07
1.JFinalUIB的权限设计值遵循最常见RBAC模型进行设计和实现的,不熟悉权限设计的童鞋们最好先看看什么是RBAC,网上搜搜很多RBAC设计的表结构,下面是本项目中的设计结构 2.在JFinalUIB中权限分配有两种流程 一是:用户-->分组-->角色-->功能 首先添加一个用户,并绑定和分组的关系,分组一般是比较固定的,角色一般也是固定的,功能是每开发一个action就录入一个,录入完功能一般要绑定好角色和功能的关系 二是:用户-->岗位-->功能 首先添加一个用户,添加用户是就已经绑定和岗位的关系,岗位一般是比较固定的,功能是每开发一个action就录入一个,录入完功能一般要绑定好岗位和功能的关系 3.那么项目中的“模块”又是干嘛的呢? 模块的存在完全是为了给功能URL分类,一个系统中开发到后面往往都有上百个甚至更多功能URL,在给角色和岗位分配功能时如果不按模块分类,真的很难找到指定的功能URL
基于RBAC权限设计模型.doc
09-04
RBAC 模型作为目前最为广泛接受的权限模型。 NIST (The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0(Core ...
RBAC权限模型_动力节点Java学院整理
09-09
主要介绍了RBAC权限模型,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
react技术栈的rbac权限模型最佳实践项目源码.zip
02-28
react技术栈的rbac权限模型最佳实践项目源码.zip Getting started # clone the project git clone .git # enter the project directory cd web-rbac-admin # install dependency yarn install # develop yarn ...
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制(RBAC模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过...
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Spring的security模块,实现用户管理和...5.用户-角色-权限使用常规RBAC模型,用户到角色,角色到权限均为多对多关系映射; 6、用到的表分别为: 用户表 角色表 权限表 用户角色表 角色权限
行政数据分析看板8.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
自动驾驶运动规划(Motion Planning).pdf
04-26
自动驾驶运动规划(Motion Planning)问题分析
跟我一起写makefile
最新发布
04-26
跟我一起写makefile的PDF,学习用。
用户使用权限测试用例
06-08
好的,下面是关于用户使用权限测试用例: 1. 测试用户在未登录情况下是否可以访问需要登录才能访问的页面或资源。 2. 测试用户登录后是否可以访问需要登录才能访问的页面或资源。 3. 测试用户在没有相应权限的情况下是否可以访问需要特定权限才能访问的页面或资源。 4. 测试用户在拥有相应权限的情况下是否可以访问需要特定权限才能访问的页面或资源。 5. 测试用户在拥有多个权限的情况下是否可以同时访问需要这些权限中的任意一个或多个才能访问的页面或资源。 6. 测试用户在拥有多个权限的情况下是否可以访问需要这些权限中的全部才能访问的页面或资源。 7. 测试用户在拥有某个权限的情况下是否可以执行需要该权限才能执行的操作。 8. 测试用户在没有相应权限的情况下是否可以执行需要特定权限才能执行的操作。 9. 测试用户在拥有相应权限的情况下是否可以执行需要特定权限才能执行的操作。 10. 测试用户在拥有多个权限的情况下是否可以同时执行需要这些权限中的任意一个或多个才能执行的操作。 11. 测试用户在拥有多个权限的情况下是否可以执行需要这些权限中的全部才能执行的操作。 以上是一些关于用户使用权限测试用例,可以根据具体情况进行修改和补充。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值