RBAC——基于角色权限的模型

最新推荐文章于 2025-04-28 20:08:22 发布
最新推荐文章于 2025-04-28 20:08:22 发布
阅读量7.3w 收藏 475
点赞数 148
分类专栏: java 文章标签: 学习 java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62006803/article/details/133962328
版权

目录

1、RBAC是什么?

2、为什么要使用RBAC模型?

3、RBAC的适用场景

4、RBAC流程图

5、RBAC各模块功能

6、访问控制流程

7、数据库设计及相关表结构

8、RBAC模型的JPA简单实现-单表及多表查询

9、RBAC模型四级分级

10、总结(优缺点)

1、RBAC是什么?

Role-Based Access Control,中文意思是:基于角色(Role)的访问控制。这是一种广泛应用于计算机系统和网络安全领域的访问控制模型。

简单来说,就是通过将权限分配给➡角色,再将角色分配给➡用户,来实现对系统资源的访问控制。一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。具体而言,RBAC模型定义了以下几个核心概念:

  1. 角色(Role):角色是指在系统中具有一组相关权限的抽象概念,代表了用户在特定上下文中的身份或职能,例如管理员、普通用户等。

  2. 权限(Permission):权限是指对系统资源进行操作的许可,如读取、写入、修改等。权限可以被分配给角色。

  3. 用户(User):用户是指系统的实际使用者,每个用户可以被分配一个或多个角色。

  4. 分配(Assignment):分配是指将角色与用户关联起来,以赋予用户相应的权限。

RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。

Who:是权限的拥有者或主体(如:User,Role)。

What:是操作或对象(operation,object)。

How:具体的权限(Privilege,正向授权与负向授权)。

通过RBAC模型,可以实现灵活且易于管理的访问控制策略。管理员可以通过分配和调整角色,来管理用户的权限。这种角色层次结构可以帮助简化权限管理,并确保用户只有所需的权限。

RBAC模型广泛应用于系统安全、数据库管理、网络管理等领域,它提供了一种可扩展、可管理的访问控制机制,有助于保护系统资源免受未经授权的访问和潜在的安全威胁。

2、为什么要使用RBAC模型?

因为当用户的数量非常大时,要给系统每个用户逐一授权,是件非常烦琐的事情。这时,就需要给用户分组,每个用户组内有多个用户。除了可给用户授权外,还可以给用户组授权。这样一来,用户拥有的所有权限,就是用户个人拥有的权限与该用户所在用户组拥有的权限之和。

在应用系统中,权限表现成什么?对功能模块的操作,对上传文件的删改,菜单的访问,甚至页面上某个按钮、某个图片的可见性控制,都可属于权限的范畴。有些权限设计,会把功能操作作为一类,而把文件、菜单、页面元素等作为另一类,这样构成“用户-角色-权限-资源”的授权模型。而在做数据表建模时,可把功能操作和资源统一管理,也就是都直接与权限表进行关联,这样可能更具便捷性和易扩展性。

举个例子:登录功能的用户-角色-权限关系

图片来源:RBAC角色权限设计-阿里云开发者社区

3、RBAC的适用场景

(1)企业组织架构:在企业中,RBAC可用于根据员工的职位、角色和职责来管理访问权限。不同部门的员工可以被分配到不同的角色,以便根据其工作职能限制他们对系统和资源的访问。

(2)应用程序和系统访问控制:RBAC可用于管理应用程序和系统中的用户访问权限。管理员可以根据用户的角色将其分配到适当的角色,并定义角色的权限集合。这样,系统可以确保用户只能访问其所需的功能和数据,从而提高安全性。

(3)多租户系统:在多租户环境中,RBAC模型可以用于对不同租户之间的访问进行隔离和管理。每个租户可以有自己的角色和权限定义,以确保其数据和资源只能被其授权的用户访问。

(4)医疗保健:在医疗保健领域,RBAC可用于管理医生、护士和管理员等不同角色的访问权限。例如,医生可以被分配到具有病人记录和处方访问权限的角色,而护士只能访问病人记录。

(5)金融和银行:在金融和银行领域,RBAC可用于管理不同用户角色的访问权限,例如客户、经理和审计人员。通过RBAC,可以确保客户只能访问其自己的账户信息,而经理和审计人员可以拥有更广泛的访问权限。

(6)云计算和网络服务提供商:RBAC可用于管理云计算平台和网络服务提供商中的用户访问权限。不同用户可以被分配到不同的角色,以限制其对云资源、虚拟机或网络设备的操作。

RBAC模型可以应用于各种不同的领域和系统,以提供更安全、灵活和可管理的访问控制机制。根据特定的需求和环境,可以根据RBAC模型进行定制和扩展。

4、RBAC流程图

5、RBAC各模块功能

图片来源:【php】RBAC 管理权限

6、访问控制流程

图片来源:【php】RBAC 管理权限

7、数据库设计及相关表结构

主外键关联的

非主外键(虚拟)

8、RBAC模型的JPA简单实现-单表及多表查询

详见以下地址:RBAC模型的JPA简单实现-单表及多表查询-CSDN博客

9、RBAC模型四级分级

RBAC0(Core RBAC):最简单的RBAC形式,员工使用角色来获取权限(使用最多)。

基本模型有三个元素:用户、角色和权限。模型设计基于“多对多”原则,即多个用户可以具有相同的角色,一个用户可以具有多个角色。同样,您可以将同一权限分配给多个角色,也可以将同一角色分配给多个权限。

RBAC1(Hierarchical RBAC):分层,建立在FlatRBAC规则之上,增加角色分层

添加了第四个组件-层次结构,它定义了不同角色之间的资历关系。通过允许高级角色自动获取下级角色的权限,可以消除冗余,例如在角色重叠时必须指定某些权限。

RBAC2(Static separation of duty (SSD) relations):受约束的,建立在分层RBAC0之上,并增加职责分离

为了在存在利益冲突策略的情况下提供帮助,将根据用户分配添加角色之间的关系。例如,作为一个角色的成员的用户将无法被指派为具有利益冲突的角色的成员。

RBAC3(Dynamic separation of duty (DSD) relations)RBAC3=RBAC1+RBAC2

与SSD一样,DSD限制了可用的用户权限,但基于不同的上下文。例如,根据会话期间执行的任务,用户可能需要不同级别的访问,DSD限制会话期间激活的权限。

10、总结(优缺点)

RBAC模型的优点:

  1. 简化权限管理:RBAC模型通过将权限分配给角色,再将角色分配给用户,使得权限管理更加灵活和易于管理。管理员可以通过调整角色和用户之间的关系,来分配和撤销权限,而无需直接管理每个用户的权限。

  2. 灵活的角色与权限关系:RBAC模型支持多对多的角色与权限关系,即一个角色可以拥有多个权限,一个权限也可以被多个角色所共享。这种灵活性使得RBAC适用于各种复杂的权限管理需求。

  3. 提高安全性:RBAC模型可以确保用户只有所需的权限,并提供了良好的隔离性。通过严格控制权限的分配,可以减少系统中的安全漏洞和潜在的攻击风险。

  4. 易于扩展和维护:由于RBAC模型使用了基于角色的抽象概念,当系统需要进行扩展或调整时,只需修改角色的权限分配,而无需改变具体的用户权限。

RBAC模型的缺点:

  1. 复杂性:尽管RBAC模型提供了灵活的权限管理机制,但其本身也较为复杂。设计和实施RBAC系统需要仔细考虑角色的定义、权限的分配以及用户与角色之间的关系,需要进行详细的规划和配置。

  2. 难以处理特殊情况:RBAC模型对于不同角色的用户可能存在某些特殊需求或特权,如临时提升权限、临时改变角色等,这些特殊情况可能难以通过RBAC模型来满足。

  3. 高度依赖角色设计:RBAC模型的有效性和安全性高度依赖于正确定义和管理角色。如果角色设计不合理或者角色权限分配不当,可能导致系统中出现权限过度或权限不足的问题。

  4. 难以适应复杂场景:在某些复杂的业务场景下,RBAC模型可能无法满足需求。例如,需要考虑时间约束、地域约束、审批流程等其他因素时,RBAC模型的简单角色与权限关系可能显得不够灵活和细粒度。

总结起来,RBAC模型具有简化权限管理、灵活的角色与权限关系、提高安全性和易于扩展等优点。但同时也存在复杂性、处理特殊情况困难、高度依赖角色设计和难以适应复杂场景等缺点。在实施RBAC模型时,需要根据具体情况进行合理规划和权衡。

参考:

【php】RBAC 管理权限

RBAC角色权限设计-阿里云开发者社区

RBAC权限管理(一)-阿里云开发者社区

RBAC权限管理(二)-阿里云开发者社区

初识RBAC - 知乎

感谢阅读,码字不易,多谢点赞!如有不当之处,欢迎反馈指出,感谢!

基于RBAC的通用权限管理系统的详细分析与实现(理念篇——角色角色分类、角色权限指派)
晓风残月淡的博客
07-24 2863
角色是一组权限的统称,在系统中体现为一些相关的职责以及数据权限的范围。用户通过扮演不同的角色来完成权限的控制。对用户比较多,管理上要求角色职责分明的公司可以通过以角色为中间环节,实现更快捷的批量授权功能。
权限管理——RBAC模型总结
热门推荐
学会改变自己——才能突破
04-07 8万+
权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,无在乎怎么的角色拥有怎样的权限,只要你充当了这个角色,你就拥有了这些功能。          举个简单例子:一个老师在学校教室她就拥有教书育人的权利义务,一个丈夫在家就有呵护妻子支撑家庭的权利义务,而一个父亲在孩子面前就有保护孩子,教育孩子的权利义务……而作为一个男生,我们很可能在不同的场所,成为这些角色,从而
用户角色权限管理模块
10-18
本工程实现了基础服务中的用户管理,角色管理,权限管理模块
权限模型RBAC模型详解
最新发布
m0_74289770的博客
04-28 1109
大家好,我是jstart千语。今天给大家介绍一下鉴权模型RBAC,传统的鉴权模式就是基于用户和权限之间的多对多关系。而RBAC就更加的精准,更好管理。
RBAC(基于角色的访问控制权限的基本模型
一个挣扎在代码学习之路上的猿
10-26 3万+
(一)基本概念 1.定义 RABC(Role-Based Access Control),也就是所谓的**“基于角色的访问控制权限”**。 2.优势 在RABC中,用户不再直接与权限相连,而是通过**“角色”**这一属性来间接的被赋予权限,用户通过成为适当的角色来的到这些角色固有的权限,这样处理就解耦了用户与权限的关系。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则...
基于RBAC权限设计 - 【摘】
SQ
11-21 993
权限分析文档 基于RBAC权限设计模型:   1        RBAC 介绍 RBAC 模型作为目前最为广泛接受的权限模型。 NIST (The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0(Core RBAC)、角色分级模型
RBAC用户角色权限管理模型设计(全网最全没有之一)
weixin_57909742的博客
03-25 6504
RBAC(Role-Based Access Control),即基于角色的访问控制,是一种广泛应用于信息安全领域的访问控制模型RBAC的核心思想是将系统中的用户按照其角色进行分类,然后定义不同角色具有的权限,最后指定哪些用户属于哪些角色,从而实现权限管理。
RBAC用户角色权限管理
qq_51386003的博客
08-22 5438
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色权限之间,一般者是多对多的关系。可以看出角色表起到了一个承接的作用把权限下发给每一个角色,而用户可以选择角色来间接的获取权限User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限
RBAC权限控制模型
hello.reader
08-27 2751
根据系统需求,首先需要定义系统中的所有角色。例如,在一个内容管理系统中,可以定义“编辑”、“审核员”和“管理员”三个角色
word源码java-rbac-security:基于角色权限访问控制(Role-BasedAccessControl)
06-05
word源码java rbac-security 这是一个基于简单的RBAC模型,结合Spring Security开发的权限管理模块。...当用户登录成功后立即在数据库查询该用户所具有的角色,再根据所拥有的角色查询对应的权限——然后将这些权限赋予
访问控制权限——RBAC技术文档
qq_45674716的博客
03-22 2105
权限管理功能是信息管理系统不可或缺的重要组成部分,是保证信息系统安全性的前提和基础。权限管理可以对用户的登录进行验证,对系统的资源访问进行鉴权,防止用户对系统越权使用,保障数据在采集、存储和传输过程中的安全性。RBAC基于角色权限访问控制(Role-Based Access Control) 是商业系统中最常见的权限管理技术之一。RBAC是一种思想,任何编程语言都可以实现,其成熟简单的控制思想越来越受广大开发人员喜欢。在RBAC中,权限角色相关联,用户通过成为适当角色的成员而得到这些角色权限
角色权限设计
ding_fang的博客
02-20 1万+
角色权限设计一 ·RBAC模型1.基本的RBAC模型2.引入用户组概念的RBAC模型3. 角色继承的RBAC模型4. 限制的RBAC模型二·权限的拆分与设计三·需要注意的Tips 一 ·RBAC模型 1.基本的RBAC模型 RBAC(Role-Base Access Control,基于角色的访问控制),就是用户通过角色权限进行关联。简单的说,一个用户拥有多个角色,一个角色拥有多个权限。这样,就...
如何设计一个权限系统
qianshanding0708的博客
05-21 1642
权限系统设计前言权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题...
什么是 RBAC 权限模型
沉梦听雨的博客
03-30 679
RBAC 就是一个。。通过角色关联用户,角色关联权限的方式间接赋予用户权限。之所以在用户和权限在中间加一层角色,是为了增加安全性和效率,而且后续扩展上也会提升不少。打个比方,用户和角色是关系,即:一个用户只充当一种角色,一种角色可以有多个用户担当。用户和角色是关系,即:一个用户可同时充当多种角色,一种角色可以有多个用户担当。那么,什么时候该使用多对一的权限体系,什么时候又该使用多对多的权限体系呢?
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限对象、权限项、功能权限、数据权限权限组、权限设计)
晓风残月淡的博客
10-02 6339
在与人沟通的过程中,我们很多次提到了权限,但是权限具体的含义每个人理解的含义都不明确,这样很容易造成双方信息不对称,有的人就只是把权限理解成某个页面的是否可访问,但是有的人却理解成其他的东西。 所以我们要彻底的定义一下权限是什么? “权限”这个词语,我们谈论时到底是名词属性还是动词属性?这对于权限的含义很重要。 如果是名词属性的话,那么它应该是有具体的指代物;如果是动词,则应该具有行为表示。 - 权限的名词属性:api接口、页面、业务功能等。 - 权限的动词属性:可访问、新增、编辑、可操作、不可操作等
万字长文,SpringSecurity
mySoul
06-30 1243
思维导图如下 RBAC权限分析 RBAC 全称为基于角色权限控制,本段将会从什么是RBAC模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色
正则表达式通俗讲解
03-19
<think>好的,我现在需要给用户讲解正则表达式,得用通俗易懂的方式。首先,我得理解用户的需求。他们可能对编程有一定了解,但正则表达式看起来复杂,需要简化。 首先,我应该从比喻入手,比如把正则表达式比作通配符,但更强大。这样用户容易联想到已有的知识。比如,用户可能知道在文件搜索中用*代表任意字符,正则表达式类似但功能更多。 接下来,需要介绍基本概念,比如元字符。用户可能不熟悉这些术语,所以要用例子说明。比如,\d代表数字,.代表任意字符,这样具体的例子能帮助记忆。 然后,要分步骤讲解,比如先讲匹配单个字符,再讲量词、分组和选择。这样结构清晰,用户容易跟上。每个部分都要有例子,比如用电话号码和邮箱的匹配作为实例,这样实用性强。 还要注意用户的常见问题,比如贪婪模式,可能需要用简单的话解释,避免太技术化。比如,提到量词默认尽可能多匹配,而加?变成尽可能少,这样对比容易理解。 最后,给出总结和练习建议,帮助用户巩固。可能还要提醒正则表达式在不同语言中的差异,避免用户混淆。 检查是否需要遵循用户的格式要求,比如行内公式用$...$,独立公式用$$...$$。但这里讲正则表达式可能用不到数学公式,不过如果有涉及,比如讲到重复次数时用{n,m},可能需要用代码格式而非数学公式。但根据用户给的系统指令,可能不需要,所以确保用反引号包裹代码示例。 还要确保用中文,结构清晰,分点讲解,步骤化。避免使用专业术语过多,必要时解释术语。比如“元字符”需要解释为“特殊字符”。 可能还需要检查是否有错误,比如正则表达式中的转义字符是否正确,比如\.表示真正的点号,而用户可能容易忽略反斜杠的作用,需要强调。 总之,结构大致是:比喻引入 -> 基本概念 -> 组成部分分点讲解 -> 实例 -> 注意事项 -> 总结。每个部分用例子和简单语言,确保用户能逐步理解。</think>让我们用“通配符升级版”来通俗理解正则表达式: ✍️ 简单理解:正则表达式就像超级智能的**文本搜索密码**,用特定符号组合快速完成以下任务: - ✅ 检测文本规律(如判断手机号格式) - ✅ 批量提取信息(如从网页抓取所有邮箱) - ✅ 智能替换内容(如给所有数字加粗) 🔑 核心学习路径(分三步): 1. **单个字符匹配** - `\d` = 匹配任意数字(相当于`[0-9]`) - `\w` = 匹配字母/数字/下划线(相当于`[A-Za-z0-9_]`) - `.` = 匹配任意字符(除换行符) - 举例:`A\d` 可以匹配 "A3"、"A9" 2. **数量控制符** - `*` = 出现0次或多次(贪婪模式) - `+` = 出现1次或多次 - `?` = 出现0或1次(也可用于非贪婪模式) - `{2}` = 精确出现2次 - 举例:`AB+` 匹配 "AB"、"ABBB" 3. **位置与逻辑** - `^` = 字符串开头 - `$` = 字符串结尾 - `|` = 或逻辑(如`猫|狗`) - `()` = 捕获分组 - 举例:`^Hello` 只匹配开头的Hello 🛠️ 经典使用场景: ```regex 电话号匹配:^1[3-9]\d{9}$ // 匹配11位手机号 邮箱匹配:\w+@[a-z0-9]+\.[a-z]+ // 匹配简单邮箱格式 HTML标签提取:<(.*?)> // 非贪婪模式匹配标签 ``` ❗ 重要注意事项: 1. 特殊字符需转义(如匹配真正的`.`要写成`\.`) 2. 默认**贪婪匹配**(加`?`变非贪婪:`.*?`) 3. 不同编程语言实现有细微差异 🔍 学习方法建议: 1. 先用在线测试工具(如regex101.com)实时验证 2. 从简单模式开始逐步增加复杂度 3. 善用预置字符集(如`\s`匹配空白符) 通过掌握这些核心规则,您就能快速编写出匹配身份证号、URL解析、文本清洗等实用表达式啦!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值