基于RBAC的通用权限管理系统的详细分析与实现(理念篇——角色、角色分类、角色权限指派)

已于 2024-10-02 09:48:35 修改
阅读量2.7k 收藏 31
点赞数 22
分类专栏: 权限管理系统设计与实现 文章标签: RBAC 权限管理 角色
于 2024-07-24 08:36:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40610003/article/details/140533894
版权

一、角色

角色是一组权限的统称,在系统中体现为一些相关的职责以及数据权限的范围。

角色作为用户与权限的联结点,是无法独立存在的。

用户通过扮演不同的角色来完成权限的控制。对用户比较多,管理上要求角色职责分明的公司可以通过以角色为中间环节,实现更快捷的批量授权功能。
在这里插入图片描述

(一)角色的类型

在ARBAC分布式角色管理模型中,对角色分为管理类角色和业务类角色两类,将角色的管理从职能上进行了分离。

管理类角色与业务类角色的权限不一样,是一对互斥的角色。管理类角色负责权限设置、组织管理、流程创建等功能,业务类角色执行数据的录入,审计,查询等功能。
在这里插入图片描述

1.管理类角色

管理类角色,顾名思义属于管理员才应该配置的角色,管理类角色有专属的管理类应用权限。

(1)管理员角色的分类

为支持管理员的多级管控,角色可分为四种角色,按照先后顺序分为:超级管理员、系统管理员、集团管理员(包括集团管理员和普通管理员)和业务员。

在这里插入图片描述

  • 超级管理员:一般为root/super用户,为系统内置的超级用户,root有单独的登陆地址:输入口令,进入系统管理的工作台,可进行应用系统的后台管理,例如应用系统创建、维护,可以创建其他超级管理员和系统管理员。一般由开发人员或乙方系统实施的专业人员担任。

  • 系统管理员:主要职能是创建其他集团,维护集团管理员,进行系统初始化和基础数据管控模式的配置等。由超级管理员创建和维护,可以有多个系统管理员。

  • 集团管理员:主要用于集团范围内的权限设置、组织管理、基础数据管理、流程建模、系统管理等,由系统管理员在系统初始化中创建并授权,一个集团可以有多个集团管理员。

  • 普通管理员:由集团管理员或拥有相应授权权的管理员创建并授权,其权限不能大于对其授权的管理员,其授权权范围(可管理用户组、可管理角色组、可转授组织、可分配应用、可管理资源)是由创建他的管理员限定的。主要用于权限设置、组织管理、基础数据管理、流程建模、系统管理、维护等。

  • 业务员:由集团管理员或普通管理员创建,普通管理员只能为业务员分配其授权权范围内的权限。企业业务系统中的真实用户,与企业的业务相关。

从访问和操作的角度,又可将角色分为需内置的系统管理员和需授权的一般操作员两大类。

系统管理员无需授权即拥有系统类功能权限和管理类功能权限和数据权限,一般操作员则需要经过授权获得管理类和业务类的功能权限和数据权限。

企业可根据实际需要,将管理操作类用户和业务操作类用户通过不同角色分开,也可将授权权角色从一般管理类角色中剥离出来,支持企业将授权权、管理权、业务权分离,给予员工完成工作所需的访问权。

(2)权限控制策略

管理员角色的权限控制一般有两种:超级管理控制策略,三权分立控制策略。

最常见的超级管理控制策略即Administrator具有所有系统管理权限,管控简单便捷,相对粗放。

随着企业经营规模的扩大,系统中管理员的权限过大,可以管理企业包括:组织、人员、权限和日志在内的所有信息,管理员一人独大的状况在信息安全方面很容易出现问题。因此,企业对于分散管理员权限的诉求十分强烈。

当遇到上述问题时,可以考虑使用三权分立控制策略,简称三员管理。分为系统管理员、审计管理员、安全管理员。

名称 用户名 描述
系统管理员 administrator 系统预置,负责软件系统的日常运维相关配置,如组织人员维护、编码规则与参数配置等。
审计管理员 audit 系统预置,负责对用户操作日志、用户权限状况、审计日志等跟踪分析和监督检查,及时发现违规风险。
安全管理员 security 系统预置,负表系统安全相关的配置与管理,如角色设置,用户授权、用户权限冻结,用户权限查询等。

三权分立控制策略安全管控等级更高,分权管理员之间互相制约与监督。

2.业务类角色

业务类角色又分为通用角色和业务角色,属于给业务操作员(非管理员)授予的角色。

假如,某企业有100个相同职能的工厂,每个工厂中都有采购员这个职位,这些采购员所需要的系统功能都一样,但由于负责不同的工厂,所以其权限要求采购员只能处理自己工厂的单据。

在这种业务背景下,我们就可以考虑使用角色的继承或者派生的方式,对角色进行创建和管理。

我们可以先创建一个通用角色,这个通用角色只有具体指定的权限对象,没有任何组织架构的信息;接着我们在通用角色的基础上在派生出本地角色,那么这些派生出的本地角色,就可以指定具体的组织架构信息了。

在这里插入图片描述

结合我们所举例的业务场景,我们先针对采购员对采购订单处理的职能,创建一个通用角色,接着通过这个通用角色,派生出100个工厂的本地角色。

很明显,这种派生或者继承的方式,也有人理解为本地角色可以理解为在通用角色上生长出来的,所以也会称呼为“母角色”和“子角色”。

  • 优点:由于通用角色和本地角色之间有继承关系,如果角色有更改要求,比如修改某个权限对象,可以仅修改通用角色,然后派生到其他本地角色上。可以有效地减少工作量。

  • 缺点:也正是由于通用角色和本地角色之间有继承关系,所以对角色管理要求较高,不能随便修改通用角色,一旦对通用角色修改同时进行派生,会导致大面积角色变动,风险较高。

所以,继承派生方式的特点就是集成度高,集成度高的好处就便于修改变更,但实际使用中,由于缺少灵活性,其管理成本也变高了,一旦管理不当就会产生牵一发而动全身的风险。

(1)通用角色

企业按照业务职能定义通用角色,对多个实体表

最低0.47元/天 解锁文章
权限管理——RBAC模型总结
学会改变自己——才能突破
04-07 8万+
权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,无在乎怎么的角色拥有怎样的权限,只要你充当了这个角色,你就拥有了这些功能。          举个简单例子:一个老师在学校教室她就拥有教书育人的权利义务,一个丈夫在家就有呵护妻子支撑家庭的权利义务,而一个父亲在孩子面前就有保护孩子,教育孩子的权利义务……而作为一个男生,我们很可能在不同的场所,成为这些角色,从而
基于RBAC通用权限管理系统的详细分析实现理念——权限对象、权限项、功能权限、数据权限权限组、权限设计)
晓风残月淡的博客
10-02 6138
人沟通的过程中,我们很多次提到了权限,但是权限具体的含义每个人理解的含义都不明确,这样很容易造成双方信息不对称,有的人就只是把权限理解成某个页面的是否可访问,但是有的人却理解成其他的东西。 所以我们要彻底的定义一下权限是什么? “权限”这个词语,我们谈论时到底是名词属性还是动词属性?这对于权限的含义很重要。 如果是名词属性的话,那么它应该是有具体的指代物;如果是动词,则应该具有行为表示。 - 权限的名词属性:api接口、页面、业务功能等。 - 权限的动词属性:可访问、新增、编辑、可操作、不可操作等
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 7万+
学习RBAC——基于角色权限的模型
基于角色管理(RBAC)权限系统
vividboy的专栏
03-02 4168
本文来源:http://znjqolf.blogdriver.com/znjqolf/635601.html这里的权限系统要区分2个概念:粗粒度:表示类(model)别级,即仅考虑对象的类别(the type of object),不考虑对象的某个特定的实例。比如,对合同这个类别(contract)的管理中,创建、删除等操作,对所有的用户都一视同仁,并不区分具体的对象实例(销售合同
设计一个简单的权限管理系统
最新发布
weixin_42908597的博客
04-11 342
实现安全高效的权限管理。针对大规模服务器集群的权限管理系统设计,需结合。,满足企业级服务器管理的安全需求。
RBAC用户角色权限管理模型设计(全网最全没有之一)
weixin_57909742的博客
03-25 6273
RBAC(Role-Based Access Control),即基于角色的访问控制,是一种广泛应用于信息安全领域的访问控制模型。RBAC的核心思想是将系统中的用户按照其角色进行分类,然后定义不同角色具有的权限,最后指定哪些用户属于哪些角色,从而实现权限管理
RBAC(基于角色的访问控制)
2401_86250490的博客
03-21 657
可根据听众背景(技术/非技术)调整技术细节的深度,并添加实际项目中的代码或界面截图增强说服力。如OA、ERP系统,根据部门/职位分配角色(如HR、财务、IT运维)。使用角色树减少重复定义(如“华东区管理员”继承“基础管理员”权限)。权限的集合,代表某种职能或岗位(如“管理员”“财务专员”)。使用IAM系统(如Keycloak、Okta)统一管理角色。用户激活角色的临时上下文(如登录后选择角色)。对资源的操作(如“读取文件”“删除订单”)。动态权限通过属性(时间、位置)补充。系统的使用者(如员工、客户)。
权限管理系统
3y
03-13 862
前言 前面我们做的小项目都是一个表的,业务代码也相对简单。现在我们来做一个权限管理系统,体验一下多表的业务逻辑,顺便巩固一下过滤器的知识! 目的 现在我有一个管理商品、订单的页面。当用户点击某个超链接时,过滤器会检测该用户是否有权限! 需求分析 按照面向对象的思想,我们至少应该有权限(Privilege)和用户(User)实体。两个实体足够了吗?细想一下,如果我们有多个...
秋式开源团队:权限管理系统需求分析
weixin_34174105的博客
04-17 179
  秋式开源团队Winform组简介: 秋式开源团队winform组,主要负责非Web内容的开源项目,主要为Winfrom项目,但不止于winfom。 目前第一期项目为秋式开源团队VS插件权限系统,本文为权限系统的需求分析,由winform组提供。 原文发表于:http://www.cyqdata.com/qswinform/article-detail-36354撰写人:秋式开源...
RBAC用户角色权限管理
qq_51386003的博客
08-22 5409
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户角色之间,角色权限之间,一般者是多对多的关系。可以看出角色表起到了一个承接的作用把权限下发给每一个角色,而用户可以选择角色来间接的获取权限User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限
基于RBAC通用权限管理系统的详细分析实现理念——权限模型)
晓风残月淡的博客
02-07 3788
RBAC 授权模型的基本思想是通过分配和取消角色来完成用户权限的授予和取消,根据不同的职能岗位划分角色,资源访问许可被封装在角色中。用户通过赋予角色间接地访问系统资源和对系统资源进行操作。授权者根据需要定义各种角色,并设置合适的访问权限。而用户根据其工作性质和职责再被指派为不同的角色,完成权限授予。这样,整个访问控制过程就分成两个部分,即访问权限角色相关联,角色用户关联,从而实现了用户访问权限的逻辑分离。RBAC模型包含五种基本元素:用户集合、角色集合、对象集合、操作集合、权限集合。
基于RBAC通用权限管理系统的详细分析实现理念——用户、组织和用户组)
晓风残月淡的博客
07-19 1755
RBAC模型是将客体的存取访问的权限在可靠的控制下连带角色所需要的操作一起提供给那些角色所代表的用户,通过授权的管理机制,可以授予一个角色多个权限,而一个权限也可以赋予多个角色,同时一个用户可以扮演多个角色,一个角色又可以接纳多个用户。
RBAC mongodb
02-26
在MongoDB中,基于角色的访问控制(RBAC)允许管理员定义权限并将其分配给用户。通过创建自定义的角色并将这些角色赋予特定用户来实现细粒度的安全管理。 为了配置RBAC,在启动数据库实例时需启用身份验证模式[^1]...
Go 每日一库之 casbin
darjun的博客
06-15 705
简介权限管理在几乎每个系统中都是必备的模块。如果项目开发每次都要实现一次权限管理,无疑会浪费开发时间,增加开发成本。因此,casbin库出现了。casbin是一个强大、高效的访问控制库。...
权限管理 基于 rbac
qq_39835505的博客
01-11 298
角色表,可以修改所拥有的权限,字段 role_auth_ids 所有的权限id 权限列表,所有的模块以及下面的功能,以无限极分类,pid 管理员表,关联 角色表的role_id 这种方式,总共需要3张表,分别是role_auth_ids 是 这个角色所拥有的所有权限 id 权限列表,等于三级栏目的展示,只是数据库存了它对应的控制器 auth_c 和方法 auth_a 用户表关联角色id 它又...
基于RBAC权限管理系统
TROUBLE I AM IN
07-29 770
基于RBAC权限管理系统 相信做过CRM管理系统的人都知道RBAC,基于角色权限管理系统,在一定程度上他能满足自定义权限的一些设置,可以自由给用户设置权限,但是他也存在一些问题,所以在这里我想简单分享一下。 接口太多维护困难 传统的RBAC的问题就是针对后端的接口进行配置权限,但是随着业务发展,一些老的接口被废弃,一些新的接口不断被添加进去,而导致到最后新建一个角色给他配置权限时,往往都是宁可...
基于RBAC实现权限系统
郝老三~~~~~~~~~~~~~
06-13 2296
RBAC 是 Role-Based Access Control(基于角色的访问控制)的缩写。它是一种访问控制模型,用于管理和控制系统中的用户访问权限。在 RBAC 模型中,访问权限是通过角色来授权的。每个角色被分配给一个或多个用户,而每个角色具有特定的权限和访问级别。通过将权限角色相关联,可以简化权限管理,并在需要时轻松地对用户的权限进行更改。RBAC 的核心思想是将权限的授权从用户直接关联到角色,从而提高系统的安全性和管理灵活性。
基于角色权限管理系统
weixin_34049948的博客
03-12 845
权限模型   RBAC简化了用户权限的关系 方便用户分组 方便权限分配和回收 扩展方便,可以满足大部分业务需求   RBAC 框架     图中有5个角标数字,对应的就是RBAC模型重要的5个属性   RBAC关系图 序号 关键属性 描述 1 用户  张三、李四、王五 2 角色 销售经理、销售、前台 3 用户角色关系 张三 是  销售经理 、李四 王五 是 销售 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值