权限管理中基于角色的访问控制与基于资源的访问控制

最新推荐文章于 2024-04-14 09:00:00 发布
最新推荐文章于 2024-04-14 09:00:00 发布
阅读量5.9k 收藏 4
点赞数 3
分类专栏: 权限 文章标签: 资源的认证和授权

 这里只对基于角色的访问控制与基于资源的访问控制做一个思想上的认识

一、说明

   基于角色的权限访问控制RBAC(role-based access control)是以角色为中心进行的访问控制,也就是判断主体subject是那个角色的方式进行权限访问控制,是粗粒度的

 基于资源的权限访问控制RBAC(resource-based access control)是以资源为中心进行的访问控制,只需要为角色添加权限就可以

粗粒度与细粒度

粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。

粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。

部门管理员可以访问用户信息页面包括 页面中所有按钮。

 

细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id001的修改连接,1110班的用户信息、行政部的员工。

细粒度权限管理就是数据级别的权限管理。

细粒度权限管理比如:部门经理只可以访问本部门的员工信息,用户只可以看到自己的菜单,大区经理只能查看本辖区的销售订单。。


二、区别

1、基于角色的访问控制

由于基于角色的权限访问控制的角色与权限往往是多对多的关系(比如admin角色可以所有CURD的权限,部门经理角色有Retrieve权限,这就是多对多关系了),如果角色所对应的权限发生变化 ,那我们所编写的判断逻辑就必须发生改变,可扩展性差

      比如:原本只有admin可以访问,那么判断可以这么写

      if(role.equals(”admin”)){

        //retrieve 

      }

      但是假设后期需要给部门经理角色也赋予retrieve权限,那么必须改变原有代码,或者另外增加代码,总之要改变原有的判断逻辑

      if(role.equals("admin") || role.equals("manager")){

        //retrieve    

      }

2、基于资源的访问控制

如果是基于资源的权限访问控制,资源和权限一对一关系比较常见,很多时候资源和权限在数据库中会被合并在一张表中,只需要为资源分配相应的权限。所以一个具体操作对应的权限,只要直接判断用户是否拥有该权限即可,可扩展性强

      //判断用户是否具有查看权限,用户的角色可以任意变化,而这条判断语句始终是可行的

      if(user.hasPermission("retrieve")){

        //retrieve 

      }

      如果用户的权限需要改变,只需要对数据库中用户的角色对应的权限进行改变,而权限与对应资源通常不会有改变的需求


总结:

不过使用基于资源的方式,仍然是需要角色的,用户的权限分配的依据往往是角色(比如:如果我给你admin角色,那么同时也会给你curd的权限)。而进行访问控制时,则不依赖角色(比如:你想查看 ,那么我可以直接问你你有retrieve权限吗?如果有,你就可以访问。而不关心你是什么角色)。









liangwanmian
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssm+shiro基于资源的权限控制框架(包含权限的认证授权细致讲解),数据库使用mysql
12-27
Java语言的框架整合及权限的控制(粗粒度、细粒度) SSM(spring+springmvc+mybatis)的整合 SSM+shiro基于资源的权限控制整合demo 配置文件原理的注释 shiro的认证授权、及从数据库mysql获取的认证信息方法都有提供
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 2万+
学习RBAC——基于角色权限的模型
架构设计-权限系统之通用的权限系统设计方案
最新发布
weixin_60783132的博客
04-14 2069
一般是采用“通用角色+实例角色”的模式,实例角色可继承通用角色,从而拥有通用角色的权限。常见的通用角色定义:ADMIN、MANAGER、MEMBER、GUEST 常见角色权限分配:1)SUPER_ADMIN,具有系统一切权限 1)产品ADMIN,具有当前产品所有权限;2)产品MANAGER,不具备删除权限,可修改,添加成员等 3)产品MEMEBER,可查看,修改信息,不可添加成员;4)产品GUEST,只可查看实例角色:实例角色一般可以这样定义:“资源点+通用角色+资源ID”
基于角色访问控制RBAC权限模型的动态资源访问权限管理实现
crudapi的博客
02-28 752
RBAC权限模型(Role-Based Access Control) 前面主要介绍了元数据管理和业务数据的处理,通常一个系统都会有多个用户,不同用户具有不同的权限,本文主要介绍基于RBAC动态权限管理在crudapi的实现。 概要 RBAC简介 RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。模型有几个关键的术语: 用户:系统接口及访问的操作者 权限:能够访问某接口或者做某操作的授权资格 角色:具有一类相同操作权限的用户的总称 用户角色权限关系 一个用户有
基于权限的访问控制和基于资源(The New RBAC)的访问控制
qq_35221223的博客
02-08 1244
读到一篇权限控制的文章,感觉不错,特地搬运过来,面试时也可以用到,下面是原地址,侵权立删:文章原地址 传统的 RBAC 指的是基于角色访问控制(Role-Based Access Control),在安全领域是被广泛使用的一种访问控制机制。应用程序因为提供的一个或一组功能的目标用户不同而通过角色对用户进行区分,每个角色只允许操作被授权了的一组功能。 新的 RBAC (The New RBAC)指的是基于资源访问控制(Resource-Based Access Control),相比传统 RBAC,新
【网课平台】Day11.基于资源访问控制RBAC与授权模型表
llg___的博客
04-23 493
在课程发布controller没找到这个功能的接口,在里面重新定义课程查询接口。一个例子:用户A和用户B都是教学机构,他们都拥有“我的课程”权限,但是两个用户所查询到的数据是不一样的。此时给用户分配(添加或者删除)权限:(创建角色就是为了方便分配权限,加权限就是加角色)以上的实现是通过解析令牌拿到当前操作用户的权限,拿这个权限和接口上注解的权限比对。里的课,是能学习的。细粒度授权也叫数据范围授权,即不同的用户所拥有的操作。完善获取学习资格的代码。,根据不同的参数查询不同的数据或操作不同的数据
RBAC-基于角色权限的访问控制和基于资源的权限访问控制
qq_42236003的博客
03-03 4246
我们开发一个系统,必然面临权限控制的问题,即不同的用户具有不同的访问、操作、数据权限。形成理论的权限控制模型有:自主访问控制(DAC: Discretionary Access Control)、强制访问控制(MAC: Mandatory Access Control)、基于属性的权限验证(ABAC: Attribute-Based Access Control)等。最常被开发者使用也是相对易...
安全管理系统基于角色访问控制的实施方法.rar_基于角色_访问控制_访问控制系统
09-23
下面我们将详细探讨基于角色访问控制的实施方法。 1. 角色定义:首先,我们需要定义系统的各种角色,这些角色通常对应于组织内的职位或者职责。例如,系统管理员、普通用户、财务人员等。角色的定义应明确其对应...
.Net平台下基于角色访问控制系统的设计与实现
03-04
摘要应用Windows系统.NetFramework开发平台,采用自定义属性、类型及反射等技术,通过对不同应用系统的资源ID生成、访问方式,以及资源树访问接口的定义,给出一套简洁、实用的基于角色的用户权限管理系统的通用平台...
基于角色访问控制模型(RBAC)
10-12
《信息安全技术 鉴别与授权 基于角色访问控制模型与管理规范》这类标准文档就为此目的而制定,旨在提供一个可组合、分层次的RBAC模型,以提升系统的管理和安全性。 总之,RBAC模型通过角色心的权限管理,有效...
基于角色访问控制
04-12
基于角色访问控制(RBAC)是一种流行的权限管理和安全模型,它将权限与角色关联,而非直接与个体用户关联。RBAC模型的主要优点包括易管理性、灵活性和安全性。 ### RBAC模型的组件 1. **用户(User)**:系统的...
RBAC、控制权限设计、权限表设计 基于角色权限控制和基于资源权限控制区别优劣
04-15 1415
RBAC、控制权限设计、权限表设计 基于角色权限控制和基于资源权限控制区别优劣 介绍 现阶段我们知道的大概就是两种权限设计 一种是基于角色的权限设计 另一种是基于资源的权限设计 接下来我给大家讲一讲这两种权限的区别,以及那种更好。 在后面也会给出数据库里表的设计的具体代码。 基于角色的权限设计 RBAC基于角色访问控制(Role-Based Access Control)是按角色进行授权。例如: 比如:主体的角色为总经理可以查 询企业运营报表,查询员工工资信息等,访问控制流程如下: 根据上图的判
springSecurity实现基于资源访问控制
qiuxinfa123的博客
04-17 2546
通过自定义springSecurity的授权逻辑,参考上篇博客 :springSecurity授权简单分析 ,你会发现它的使用场景是 基于角色访问控制,网上很多文章写的也是基于角色的权限控制。但是,我很觉得很诧异,为什么很少有人思考 基于资源访问控制?毕竟,在shiro是可以实现的。为什么要思考基于资源访问控制? 我的出发点是,即使是同样的角色,也可以拥有不用的权限,可以动态...
服务端指南 | 基于数据访问控制
weixin_33877885的博客
12-27 177
原文地址:服务端指南 | 基于数据访问控制 博客地址:blog.720ui.com/ 基于角色访问控制,只验证访问数据角色,但是没有对角色内的用户做细分。举个例子,用户甲与用户乙都具有用一个角色,但是如果只建立基于角色访问控制,那么用户甲可以对用户乙的数据进行任意操作,从而发生了越权访问。因此,在业务场景仅仅使用基于角色访问控制是不够的,还需要引入基于数据访问控制。如果将基于...
基于角色的权限控制模型RBAC
一个搬砖工人
07-29 3185
RBAC(Role-Based Access Control)即:基于角色的权限控制。通过角色关联用户,角色关联权限的方式间接赋予用户权限。 在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。 RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离,极大地方便了权限的管理。 User(用户):每个用户都有唯一的UID识别,并被授予不同的角色。 Role(角色):不同角色具有不同的权限。 Permission(权限):访问权限。 用户-角色映射:用户
基于角色访问控制”和 基于资源访问控制
liangdingguo的博客
08-29 787
基于角色访问控制(RBAC)是实施面向企业安全策略的一种有效的访问控制方式。 RBAC(Role-Based Access Control) 基本思想 建立一个角色集合 其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样
对权限的理解
lzq_blog的博客
10-28 1329
权限管理: 一: 1、  用户(User)可以拥有多个角色(Role),角色可以被分配给多个用户 2、  权限的意思就是对某个资源的某个操作,现在规定: a)      所谓资源,即系统的模块 b)      所谓操作,包括:增加、删除、修改、查询等操作 3、  权限管理系统的总体功能分为:授权认证 4、  授权,指将权限授予角色或用户 a)      如果用户A拥有角色B、
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1051
Spring Security高级配置(权限和资源的关系)
【基于角色访问控制RBAC】权限与资源
Mankind的博客
10-01 4756
基于角色的权限访问控制(Role-BasedAccess Control)。在RBAC,权限与角色相关联,通过使用户成为适当的角色而得到这些角色的权限。用户可以很容易地从一个角色被指派到另一个角色角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色回收。这就极大地简化了权限的管理。 资源树将整个系统的功能按模块划分,如用户管理模块,文件管理模块,用户管理模块下又有管

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值