访问控制矩阵是定义主体对客体访问权限的表格,它包含主体列和客体行,以及具体的权限。访问控制列表(ACL)是矩阵中的一列,关注于客体的权限,而能力表是一行,关注于主体的权限。这两种形式都用于访问控制,分别适用于不同场景,提供快速权限查询。
访问控制矩阵是一个由主体和客体组成的表, 这个表指示了每个主体可以对每个客体执行的动作或功能。
所以,首先充分理解访问控制列表,下图为例。列头是主体,就是用户名。行头,是具体功能(也可以是客体名称),具体表格里面是权限,既可以是简单的允许/不允许,也可以是复杂些的 读/写/执行/修改属性 。 通过这个矩阵,无论是根据主体还是客体,都可以查到对应的权限。进行访问时,通过这个表,来控制允许或拒绝这样的操作。
理解了访问控制矩阵之后,就简单了。访问控制矩阵的每一列都是一个访问控制列表ACL, 表的每一行都是功能列表(也叫能力表)。ACL和能力表就是访问控制矩阵的特殊形式,
访问控制列表,就是只有一列的访问控制矩阵。例如,针对一个文件X的,然后表里有所有用户对X的访问权限。注意:此时表里只有关于X的访问权限,如果要查文件Y的相关权限,就不应该查这个表了。
能力表,就是只有一行的访问控制矩阵。例如,就是针对主体-用户Bob的,表里列出了Bob拥有的对所有客体的权限。注意这里没法查其他用户Tom的任何权限,你得到其他表去查了。
都是用于访问控制的,大同小异。用在不同的情境中。能力表一般和主体关联,根据主体可以很快知道是否有权访问。ACL一般和客体关联,有访问需求给到这个客体了,查下是否这个主体有权限。
扫一扫
3435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
