什么是RBAC权限模型
PBAC是基于角色访问权限的控制。
简单来说就是谁(who)能对什么(what)进行什么样的操作。
who、what、how构成了访问权限三元组。
RBAC支持公认的安全原则
PBAC支持最小权限原则、责任分离原则、数据抽象原则。
1.最小权限原则指的是被分配角色权限不得高于权限分配的角色。;
2.责任分离原则指的是你可以指定责任上两个互相约束的角色来完成敏感性的工作,比如在考试中,指定考试的人和考官。
3. 数据抽象原则指的在某些抽像的数据上,比如信用,借款等抽象的许可权利,安全管理员可以不遵守这些原则,使用灵活的细节配置来实现,而不是通过系统提供的权限读写来实现。
责任分离(动态责任分离和动态责任分离)
1.运行时互斥:系统运行时,只能执行一个角色权限。比如班主任和语文老师,他可以同时拥有两种权限,但是执行时候只能执行一个权限。
2.先决条件:可以理解为,总统是从竞选人员中选举,要成为总统你必须是竞选人员。
3.基数约束:可以理解为领导的职位的个数限制,比如公司的董事个数,执行董事的个数。
4.互斥角色:可以理解为会计和审核人员,不能同一个,监督人员和被监督人不能为同一个人。