一.RBAC是什么?
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
二.RBAC级别:RBAC0 ~ RBAC3
RBAC0、RBAC1、RBAC2、RBAC3简单介绍:
- RBAC0:是RBAC的核心思想。
- RBAC1:是把RBAC的角色分层模型。
- RBAC2:增加了RBAC的约束模型。
- RBAC3:其实是RBAC2 + RBAC1。
1.RBAC0:最核心的模型,其他的级别都是建立在该级别的基础上
2.RBAC1:基于RBAC0模型,进行了角色的分层,也就是说角色有了上下级的区别
3.RBAC2:也是基于RBAC0模型的基础上,进行了角色的访问控制
静态职责分离:SSD
主要约束:
- 1.互斥角色:同一个用户不能授予互斥关系的角色
- 2.基数约束:一个用户拥有的角色是有限的
- 3.先决条件约束:用户想要得到高级权利,必须先拥有低级权利
动态职责分离:DSD
主要动态决定怎么样计划角色:如:一个用户拥有5个角色,只能激活2个
总结:
RBAC3:也就是最全面的权限管理,它是基于RBAC0的基础上,将RBAC1和RBAC2进行了整合,最全面,也是最复杂的。
估计看完图后,应该稍微清楚一点。
下面来看个Demo。员工权限设计的模型图,以及对应关系。
在我们平常的权限系统中,想完全遵循 RBAC 模型是很难的,因为难免系统业务上有一些差异化的业务考量,所以在设计之初,不要太理想,太追求严格的 RBAC 模型设计,因为这样会使得你的系统处处鸡肋,无法拓展。
所以在这里要说明一下, RBAC 是一种模型,是一种思想,是一种核心思想,但是就思想而言,不是要你完全参照,而是你在这个基础之上,融入你自己的思想,赋予你的业务之上,达到适用你的业务