记ABAC的落地实践

最新推荐文章于 2024-03-01 13:29:07 发布
置顶 VIP文章 最新推荐文章于 2024-03-01 13:29:07 发布
阅读量697 收藏 1
点赞数
分类专栏: Auth 文章标签: ABAC 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mjx20045912/article/details/130795416
版权

为什么使用ABAC

一般提到授权,我们就会想到角色(role)。什么样的用户拥有什么样的角色可以怎么操作什么样的资源,这是我们普遍使用的权限系统的模型。这里的角色实质上是包含了一组用户操作资源的规则集合。一旦角色被创建,也就意味着有一组资源操作集合被固化起来,除非去修改角色,否则这个规则集合是不会变的。 比如在一个图书馆的图书管理系统中,所有读者都可以查看书籍及其不同的分类,图书管理员编辑图书信息,管理层可能要看一些图书借阅报表等。这些都可以给读者和图书管理员分配不同的角色就可以实现。在一个较大的图书馆,图书管理员可能分布在不同楼层或者管理不同类别的图书,所以我们需要创建多个图书管理员的角色,比如: 二楼图书管理员,或经济类图书管理员等。更大的图书馆可能会有出版社区分的管理员或者代理人员,因此会有更多基于出版社和图书分类的角色。随着该图书馆的不断扩大,业务职责越来越精细,会继续不断的创建新的角色,比如对于一个出版社在一个楼层的一个特定分类的按照出版时间进行不同角色管理,就会有 “出版社数 x 楼层数 x 楼层图书分类数 x 出版时间分类数” 的角色创建,如此下去,整个系统就会面临“角色爆炸”的窘态。

上述描述的就是基于角色的访问控制,简称RBAC(Role-Based Access Control)它他是一种静态的访问控制模型,主要用于一些基本的简单授权系统中。那如果我们需要更细粒度的访问控制,而又不想面临“角色爆炸”,基于属性的访问控制,简称ABAC(Attribute-Based Access Control)可以是一种选择。在ABAC的模型中没有角色的概念,也就没有“角色爆炸”,它是通过定义一系列的访问规则,利用当前用户操作相关资源的属性,动态的决定用户有没有权限操作该资源。当前著名的AWS IAM就是使用ABAC管理访问控制的,也称PBAC(Policy-Based Access Control)。

ABAC模型和框架

在ABAC的概念模型中,主要包含:

  • 访问者(Subject):指操作的发起者,可能是一个用户,或一个系统。
  • 受访者(Object):指操作的接受者,也就是访问目标资源,例如用户数据等。
  • 操作(Operation):即对受访者的操作,常见的增删改查等。
  • 属性(Attribute):指一组来自访问者,受访者,和操作相关的数据,也包含一些环境上下文数据。
  • 策略(Policy):指可以基于属性动态生成访问控制结果的预定义的一组规则。

但ABAC毕竟只是个模型,要真正实现它,最好依赖于一种成熟的框架。XACML&#

最低0.47元/天 解锁文章
jimson_ma
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node-abac:基于Node.js属性的访问控制库
05-09
节点算盘 基于Node.js属性的访问控制库 该库旨在帮助您使用简单的JSON或YAML策略在Node.js应用程序中实现基于属性的访问控制(ABAC)的概念。 有关ABAC的更多信息,请考虑阅读《 。 受启发 安装 使用npm命令行工具安装最新的稳定版本: $ npm install node-abac 配置 导入库 const NodeAbac = require ( 'node-abac' ) ; 政策规定 可以从一个或多个文件中读取策略。 JSON和YAML结构均受支持,并且可以根据需要进行混合。 const Abac = new NodeAbac ( 'path/to/policy.json' ) ; const Abac = new NodeAbac ( [ 'path/to/policy.json' , 'another/path/policy2.yml' ] )
数据权限设计:从RBAC到ABAC的演变
wh柒八九的博客
09-28 4953
本文来说下数据权限设计之从RBAC到ABAC的演变 文章目录概述 概述 名词解释 ACL:Access Control List RBAC:Role-Based Access Control ABAC:Attribute-Based Access Control 权限设计从ACL和RBAC发展而来,ABAC现在已经成为各组织的标准模式,以确保员工只有在适当的情况下才能获得他们需要的信息。 今天,数据通常被称为数字时代的新石油。企业正在利用数据来提高运营效率、改善客户体验、增加收入和促进增长。此.
ABAC】最强实战:基于.net core + vue2 实现ABAC鉴权模型(附数据库设计和核心代码)
dzxdzx341224的博客
03-01 2028
可能是史上最强的.net + vue 全栈实战ABAC,附数据库设计和核心代码
权限系统设计模型分析(DAC,MAC,RBAC,ABAC
勇往直前的专栏
10-08 6552
此篇文章主要尝试将世面上现有的一些权限系统设计做一下简单的总结分析,个人水平有限,如有错误请不吝指出。 术语 这里对后面会用到的词汇做一个说明,老司机请直接翻到常见设计模式。 用户 发起操作的主体。 对象(Subject) 指操作所针对的客体对象,比如订单数据或图片文件。 权限控制表 (ACL: Access Control List) 用来描述权限规则或用户和权限之间关系的数据表...
jcasbin:一个授权库,支持Java中的访问控制模型,如ACL,RBAC,ABAC
02-03
卡斯宾 新闻:仍然担心如何编写正确的jCasbin策略? Casbin online editor提供帮助! 请尝试: : jCasbin是用于Java项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 准备生产 准备生产 准备生产 准备生产 准备生产 准备生产 Beta测试 准备生产 目录 支持机型 具有ACL 没有用户的ACL :对于没有身份验证或用户登录的系统特别有用。 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定文章或日
Spring Expression Language(SpEL)实现ABAC鉴权模型, 动态计算实体的属性、操作类型、相关的环境来控制是否有对操作对象的权限
小魏的奇妙世界
11-28 2480
基于ABAC访问控制动态计算实体的属性、操作类型、相关的环境来控制是否有对操作对象的权限
史上最强的权限系统设计攻略(下):ABAC在复杂场景下的实现思路
weixin_54542328的博客
12-08 612
现在的业务场景是要做一个为一系列SaaS服务的提供权限管控的权限系统,同时包括控制每个用户渲染的菜单的能力,这要求,我们的权限系统必须足够通用,并且还能够在各种各样复杂的业务场景下进行访问控制(即鉴权服务)。
laravel完成ABAC的步骤以及示例
qq_63187879的博客
04-01 183
在 app 目录下创建三个模型:User、Role、Permission。将 Permission 模型继承 Spatie 的 Permission\Models\Permission 类。ABAC(Attribute Based Access Control)是一种访问控制模型,根据用户、角色、资源和策略之间的属性进行决策。创建一个名为 ABCAPolicy 的策略 class,并在策略类中实现通过属性进行访问控制的逻辑。在路由、控制器或视图中将策略应用到相应的操作上。在模型中添加访问控制所需的属性。
ABAC
12Dong的博客
12-09 716
引子:ABAC是一种属性的集合体对另外一种属性的集合体发起访问,问题:如何进行这种属性关联的计算 引子:ABAC是一种属性的集合体对另外一种属性的集合体发起访问,问题:如何对这种属性进行通用的描述 ...
美NIST标准-ABAC-中英文版本
02-29
ABAC-NIST.SP.800-162,中文翻译版。基于属性的访问控制模型标准-中英文。基于NIST下载的原版本进行的中文翻译,并保留了原文,方面进行中英文比对。是开放版本,方便进行模型标准的了解与解读。对产品开发以及零...
ABAC基于属性的安全访问相关摘要
05-11
ABAC基于属性的安全访问相关摘要 详细介绍的ACBC具体内容,为基于ABAC的系统开发提供参考资料
Drupal abac
12-28
Drupal abac
基于深度学习的ABAC访问控制策略自动化生成技术
01-18
针对访问控制策略的自动化生成问题,提出了一种基于深度学习的ABAC访问控制策略生成框架,从自然语言文本中提取基于属性的访问控制策略,该技术能够显著降低访问控制策略生成的时间成本,为访问控制的实施提供有效...
基于casbin的ABAC/RBAC权限实践
dotNET跨平台
05-04 1523
五一假期疫情封在家也没事做,就想来优化一下一个前端容器小项目之前的TODOlist里面有一项是权限这块时隔2年了还一直没有动手迟迟没搞主要还是我太懒了,哈哈 其实我一直想要找一个轻量级的权限通用方案权限的数据源可以切换,但是逻辑基本不用动权限策略定义简单不复杂,支持RBAC,ABAC(粒度可粗可细)支持内置超级用户(上帝模式)知道我最近研究了一下casbin(基于各种访问...
企业数字化转型暨数据仓库(数仓)建设方案.pptx
05-06
企业数字化转型暨数据仓库(数仓)建设方案.pptx
2024年中国LED切割灯行业研究报告.docx
05-06
2024年中国LED切割灯行业研究报告
目前世界上最好的机器学习&深度学习&神经网络&图神经网络&卷积网络&多层感知机画图工具&基于PPT
05-06
在当今快速发展的人工智能领域中,一款集成了机器学习、深度学习、神经网络、图神经网络、卷积网络及多层感知机可视化功能的画图工具脱颖而出,成为全球范围内最受欢迎和认可的工具之一。这款工具不仅仅是一个简单的绘图软件,它的设计初衷是为了让复杂的网络结构和算法直观化,从而帮助研究者、学者及开发人员更容易地理解和分享他们的工作。 最令人印象深刻的特色之一是它基于PPT的编辑能力,这允许用户在熟悉的PPT编辑环境中创建、编辑和展示复杂的网络结构。用户可以利用拖拉组件、调整尺寸、修改颜色和形状等功能,无缝地将科研成果或项目展示集成到演示文稿中,极大地提高了工作的效率和表现力。 该工具不仅支持广泛的网络结构和模型,还包含丰富的库和模块,让用户能够轻松自定义和扩展自己的模型。它的用户界面友好、直观,无论是机器学习的新手还是资深研究员,都能快速上手,将精力更多地集中在创新和研究上,而不是图形的绘制和编辑上。 此外,它强大的共享和合作功能,使得团队成员可以实时共享他们的成果,促进了知识的交流和项目的进展。这款工具不仅改善了人工智能领域内部的工作方式,也为更广泛的受众提供了学习和理解复杂算法的窗口。 总
2024年中国B型超声诊断设备行业研究报告.docx
05-06
2024年中国B型超声诊断设备行业研究报告
node-v11.0.0-linux-armv7l.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
abac权限 nodejs
12-03
abac(Attribute-Based Access Control)是一种访问控制模型,它基于属性对用户进行访问控制。在Node.js中,通过使用abac可以实现对用户或实体的访问控制,从而保护应用程序的安全性和隐私。 在Node.js中,可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值