权限系统的设计模式 ACL RBAC ABAC

最新推荐文章于 2024-06-17 16:01:02 发布
置顶 最新推荐文章于 2024-06-17 16:01:02 发布
阅读量2.1w 收藏 35
点赞数 4
分类专栏: 设计模式 文章标签: 权限系统 ABAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37163942/article/details/83652065
版权

ACL(Access Control List):访问权限列表  如:

 

user1-->AC1

user1-->AC2

user2-->AC1    此时权限汇总成一个列表

这种设计最常见的应用就是文件系统的权限设计,如微软的NTFS

对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户

RBAC(Role Base Access Control):基于角色的权限控制

与ACL 对比  RBAC不用给用户单个分配权限,只用指向对应的角色就会有对应的权限,而且分配权限和收回权限都很方便

如菜单权限的设计:用户与角色关联,角色与菜单关联

  

ABAC(Attribute Base Access Control) 基于属性的权限控制

不同于常见的将用户通过某种方式关联到权限的方式,ABAC则是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断(可以编写简单的逻辑)。属性通常来说分为四类:用户属性(如用户年龄),环境属性(如当前时间),操作属性(如读取)和对象属性(如一篇文章,又称资源属性),所以理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求。

例如规则:“允许所有班主任在上课时间自由进出校门”这条规则,其中,“班主任”是用户的角色属性,“上课时间”是环境属性,“进出”是操作属性,而“校门”就是对象属性了。为了实现便捷的规则设置和规则判断执行,ABAC通常有配置文件(XML、YAML等)或DSL配合规则解析引擎使用。XACML(eXtensible Access Control Markup Language)是ABAC的一个实现,但是该设计过于复杂,我还没有完全理解,故不做介绍。

总结一下,ABAC有如下特点:

  1. 集中化管理
  2. 可以按需实现不同颗粒度的权限控制
  3. 不需要预定义判断逻辑,减轻了权限系统的维护成本,特别是在需求经常变化的系统中
  4. 定义权限时,不能直观看出用户和对象间的关系
  5. 规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦
  6. 权限判断需要实时执行,规则过多会导致性能问题

既然ABAC这么好,那最流行的为什么还是RBAC呢?

我认为主要还是因为大部分系统对权限控制并没有过多的需求,而且ABAC的管理相对来说太复杂了。Kubernetes便因为ABAC太难用,在1.8版本里引入了RBAC的方案

ABAC有时也被称为PBAC(Policy-Based Access Control)或CBAC(Claims-Based Access Control)。

撸智深
关注
  • 4
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
PBAC相对于传统ABAC的优势
vagerdwely的博客
03-15 2519
厌倦了为数百个用户、管理数千个角色的IAM经理和架构师,需要一种更好的方式来控制对企业的访问。传统的基于角色的访问控制方法有很多弱点,遗留用户太多,并且容易受到“角色爆炸”的影响。需要新的方法,允许特定用户在特定时间访问特定内容。 通常考虑的第一种解决方案是基于属性的访问控制(ABAC)。ABAC是一种细粒度的访问管理方法,其中,基于已分配给用户,操作,资源或环境的已定义规则,决定批准或拒绝对特定信息的访问请求。 例如,在银行的日常工作时间内,当从分支机构的IP地址提供客户的身份证和他们的帐号时,银行出纳
系统管理权限设计文档
03-12
理解权限的基本类型和它们如何组合以定义更复杂的访问模式是设计权限系统的基础。 2. **角色与权限**:角色是一组预定义的权限集合,代表了某一类用户的职责和功能需求。通过角色分配,可以方便地管理和调整大量...
最全的权限系统设计
热门推荐
u010482601的专栏
03-22 1万+
权限管理是公司数据安全的重要保证,针对不同的岗位,不同的级别看到的数据是不一样的,操作数据的限制也是不一样的。比如涉及到资金的信息只开放给财务的相关岗位,涉及到配置的信息只开放给运营的相关岗位,这样各司其职能避免很多不必要的安全问题。如何让各个岗位的人在系统上各司其职,就是权限管理要解决的问题。本文会详细介绍权限设计的模型,使用本文中的模型基本可以解决所有的权限问题
手把手带你开发一套用户权限系统,精确到按钮级
最新发布
kfashfasf的博客
06-17 699
在实际的软件项目开发过程中,可以说是所有运营系统中必不可少的一个重点功能,根据业务的复杂度,。如何设计一套可以的用户权限功能呢?今天通过这篇文章一起来了解一下相关的实现逻辑,不多说了,直接上案例代码!
万字长文,SpringSecurity
mySoul
06-30 965
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
权限系统设计
bobozai86的博客
11-09 442
基于RBAC权限控制设计原理
权限设计-实战相关分析
11-02
- **安全性**:确保权限系统不能被绕过,如防止权限提升攻击。 - **审计**:记录和跟踪用户的访问行为,以便于事后审查和问题排查。 - **可扩展性**:设计应能适应未来需求的变化,支持更多的角色、资源和操作。 ...
一个多租户的框架
05-28
本文叙述了云计算环境下多租户系统如何建设。其中包括RBACABACACL等多种模型在多租户系统中的应用。
权限设计
07-31
在IT行业中,权限设计是构建安全、可控的系统的关键组成部分,尤其在开发企业级应用时更为重要。权限设计涉及到用户角色、操作权限、资源访问控制等多个方面,旨在确保只有授权的用户才能执行特定的操作。本篇文章将...
铁路建设行业内容管理权限模型的设计与实现.docx
11-29
在设计权限模型时,需要考虑铁路建设行业的这些特点,比如采用RBAC模型的变体,结合ACLABAC的优势,创建适应多层级目录、具有继承关系的权限体系。同时,要兼顾权限的灵活性和易用性,确保普通用户能够轻松理解和...
通用的系统权限
06-28
本文将深入探讨这一主题,从核心概念、实现机制、设计模式以及最佳实践等方面进行详细阐述。 一、系统权限的核心概念 1. 用户(User):系统中的主体,具有登录和操作系统权限。 2. 角色(Role):一组权限的...
权限管理源代码
01-21
10. **权限设计模式**:例如,"权限-操作-资源"模式(Permission-Action-Resource,PAR)是一种常用的设计模式,源代码可能会使用这种模式来组织和管理权限。 以上就是“权限管理源代码”可能涉及的关键知识点,...
Permission权限管理
11-23
1. **RBAC(Role-Based Access Control)角色基础访问控制**:这是最常见的权限管理模式,用户通过关联角色来获取相应的权限。例如,管理员角色可以访问所有功能,而普通用户只能访问部分功能。这样做的好处是能够...
零信任体系下现代化IAM建设.pdf
07-02
传统的ACL逐步被RBACABAC和最终的PBAC(基于策略的访问控制)取代,以实现更为灵活和安全的权限管理。 在零信任体系下,现代化IAM建设面临诸多挑战,例如业务形态的多样性导致账号体系复杂,需要实现跨系统的互通...
Robusta AC-开源
07-05
该框架提供了丰富的访问控制模型,可以支持基于角色的访问控制(Role-Based Access Control, RBAC)、基于属性的访问控制(Attribute-Based Access Control, ABAC)等多种模式,满足不同场景下的权限管理需求。...
浅谈权限系统模型设计!
架构文摘
04-05 272
作者 | 百度智能小程序团队导读introduction本文首先引入多利熊业务介绍,引出多利熊业务建设权限系统的痛点,接着分别从权限系统模型、权限系统设计以及多利熊业务业务应用方面详细探讨了具体的方案和设计,最后对权限系统设计思考,对数据维度建设抛砖引玉,让大家一起思考解决方案。全文5212字,预计阅读时间14分钟。GEEK TALK01业务介绍多利熊,是百度旗下的本地生活服务平台。多利熊旨在为...
访问控制、RBACABAC模型
dreamsofa的专栏
11-06 407
ABAC 的思想基于属性的、可扩展的、可灵活定制的一种访问控制规则引擎、类似如groovy、drools、js等执行引擎可以作为规则引擎的一种实现方式。而基于关系型数据库的数据控制可以将访问策略转换为SQL的属性查询条件, 如对象A的创建者可读策略对应的检查条件可能为:where A.creatorId=Subject.id。
权限管理中的RBACABAC
hhhhhhhhhhhhhhhc的博客
07-21 5838
权限管理中的RBACABAC
ACL RBAC ABAC 区别
06-02
ACL(Access Control List,访问控制列表)、RBAC(Role-Based Access Control,基于角色的访问控制)和 ABAC(Attribute-Based Access Control,基于属性的访问控制)都是常见的权限控制方法,它们的区别如下: 1. ACL 是最基本的权限控制方法,通过定义用户和资源的访问权限列表来控制用户对资源的访问。ACL 的缺点是管理麻烦,容易出现权限过于复杂的情况。 2. RBAC 是在 ACL 的基础上发展起来的,通过定义角色和权限的关系来控制用户对资源的访问。RBAC 的优点是管理方便,易于维护和扩展,适合大型系统和组织。 3. ABAC 是在 RBAC 的基础上发展起来的,通过定义属性和规则的关系来控制用户对资源的访问。ABAC 的优点是更加灵活和细粒度,可以根据具体的属性和规则来控制用户的访问。ABAC 适合对安全和隐私要求比较高的系统和场景。 总的来说,ACL 是最基础的权限控制方法,适合简单的系统和场景;RBAC 是一种成熟的权限控制方法,适合大型系统和组织;ABAC 是一种更加灵活和细粒度的权限控制方法,适合对安全和隐私要求比较高的系统和场景。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

撸智深

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值