权限设计,设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC

已于 2022-07-09 23:43:33 修改
阅读量3.6k 收藏 17
点赞数 1
分类专栏: 设计模式 文章标签: 设计模式 设计规范 数据库架构
于 2022-07-09 23:20:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40861800/article/details/125699474
版权
RBAC(基于角色的访问控制)模型通过角色关联用户和权限,简化权限管理,适用于中小型组织。RBAC分为RBAC0、RBAC1、RBAC2、RBAC3四种,分别在基础、角色分层和约束方面进行扩展。ABAC(基于属性的访问控制)则更为灵活,根据用户、系统、环境等多种属性动态控制访问权限,适用于大型组织和复杂场景,提供细粒度的权限管理。
摘要由CSDN通过智能技术生成

一、什么是RBAC模型

RBAC是Role-Based Access Control的缩写,意为:基于角色的权限控制。通过角色关联用户,角色关联权限的方式间接赋予用户权限。

如下图:

 为什么不直接给用户分配权限,还多此一举的增加角色这一环节呢?

        其实是可以直接给用户分配权限,只是直接给用户分配权限,少了一层关系,扩展性弱了许多,适合那些用户数量、角色类型少的平台。

对于通常的系统,比如:存在多个用户拥有相同的权限,在分配的时候就要分别为这几个用户指定相同的权限,修改时也要为这几个用户的权限进行一一修改。有了角色后,我们只需要为该角色制定好权限后,将相同权限的用户都指定为同一个角色即可,便于权限管理。

对于批量的用户权限调整,只需调整用户关联的角色权限,无需对每一个用户都进行权限调整,既大幅提升权限调整的效率,又降低了漏调权限的概率。

二、RBAC模型的分类

RBAC模型可以分为:RBAC0、RBAC1、RBAC2、RBAC3 四种。其中RBAC0是基础,也是最简单的,相当于底层逻辑,RBAC1、RBAC2、RBAC3都是以RBAC0为基础的升级。

一般情况下,使用RBAC0模型就可以满足常规的权限管理系统设计了。

2.1 RBAC0模型

最简单的用户、角色、权限模型。这里面又包含了2种:

  1. 用户和角色是多对一关系,即:一个用户只充当一种角色,一种角色可以有多个用户担当。
  2. 用户和角色是多对多关系,即:一个用户可同时充当多种角色,一种角色可以有多个用户担当。

那么,什么时候该使用多对一的权限体系,什么时候又该使用多对多的权限体系呢?

如果系统功能比较单一,使用人员较少,岗位权限相对清晰且确保不会出现兼岗的情况,此时可以考虑用多对一的权限体系。其余情况尽量使用多对多的权限体系,保证系统的可扩展性。如:张三既是行政,也负责财务工作,那张三就同时拥有行政和财务两个角色的权限。

2.2 RBAC1模型

相对于RBAC0模型,增加了子角色,引入了继承概念,即子角色可以继承父角色的所有权限。

最低0.47元/天 解锁文章
陆映质
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
可能是史上最全的权限系统设计
alex4837的博客
07-12 5481
权限系统设计 前言 权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。 目前在公司负责权限这块,所以对权限这块的设计比较熟悉,公司采用微服务架构,权限系统自然就独立出来了,其他业务系统包括商品中心,订单中心,用户中心,仓库系统,小程序,多个APP等十几个系统和终...
ACL、DACMACRBACABAC权限管理详解
最新发布
sunxunyong的博客
08-05 360
2、DAC(Discretionary Access control):是ACL的扩展,在其基础上,允许主体可以将自己拥有的权限自主地授予其他主体,权限可以随意传递。5、ABAC(Attribute-Based Access Control):基于属性的访问控制,通过各种属性来动态判断一个操作是否可以被允许。常见的操作包括“读取”,“写入”,“编辑”,“复制”和“删除”• 资源:资源是当前用户要访问的资产或对象,例如文件,数据,服务器,甚至 API。缺点:权限控制比较分散,主体权限太大,有泄露信息的危险。
权限设计模式
weixin_30920853的博客
07-08 626
权限设计模式 自主权限访问控 DAC的概念 DAC: Discretionry Access Control DAC权限模式下系统会自动识别用户,然后根据被操作对象(Subject)的权限控制列表ACL(Access Control List)或者权限控制矩阵(ACM:Access Control Matrix)的信息来决定用户的是否对其有相应的权限,例如:read or modify; 而拥有...
通用权限管理设计篇_设计模式
weixin_33887443的博客
11-21 646
摘要: 本文讲的是通用权限管理设计篇_设计模式, 博客地址:http://www.blogjava.net/amigoxie/  一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一 博客地址:http://www.blogjava.net/amigoxie/  一.引言        因为做过的一些系统的权限管理的功能虽然在...
权限设计种类【RBACABAC
m0_60469045的博客
03-19 2488
ACL(Access Control List):每一个客体都有一个列表,列表中记录的是哪些主体可以对哪些客体做什么。缺点:当主体的数量较多时,配置和维护成本大,易出错。 DAC(Discretionary Access control):是ACL的扩展,在其基础上,允许主体可以将自己拥有的 权限自主地授予其他主体,权限可以随意传递。缺点:权限控制比较分散,主体权限太大,有泄露信息的危险。 MAC(Mandatory Access Control):双向验证机制,常用于机密机构或
权限系统设计模型分析DACMACRBACABAC
qq_34376868的博客
03-12 2235
术语 这里对后面会用到的词汇做一个说明 用户 发起操作的主体。 对象(Subject) 指操作所针对的客体对象,比如订单数据或图片文件。 权限控制表 (ACL: Access Control List) 用来描述权限规则或用户和权限之间关系的数据表。 权限 (Permission) 用来指代对某种对象的某一种操作,例如“添加文章的操作”。 权限标识 权限的代号,例如用“ARTICLE_ADD”来指代“添加文章的操作”权限。 常见设计模式 自主访问控制(DAC: Discretion
权限系统设计一: DACMACRBACABAC模型
09-19 2454
自主访问控制(DAC: Discretionary Access Control) 自主访问控制中,产品中的操作对象被设置了权限等级。 在用户登陆时,系统识别用户,根据被操作对象(Subject)的权限控制列表(ACL: Access Control List)或者权限控制矩阵(ACL: AccessControl Matrix)信息设置用户能对哪些操作对象进行何种操作,例读取操作...
访问控制基础(DAC,MAC,RBAC,ABAC,BLP)
qq_36735125的博客
04-05 3947
访问控制基础,包含对DAC,MAC,RBAC,ABAC,BLP的简要介绍。
权限系统设计二: DACMACRBACABAC模型
10-09 1498
1 基于角色的访问控制 (RBAC: Role-Based Access Control) 在DACMAC的基础上, RBAC出现了,RBAC是迄今为止最为普及的权限设计模型RBAC模型中在用户、权限之间引入“角色(Role)”概念。 RBAC权限管理过程抽象为“判断逻辑表达式的值是否为True”的求解过程,而逻辑表达式为: Who是否可以对What进...
rbac权限模式是什么
04-21
rbac权限UML模型设置与一些基础链接
权限控制的设计方式
qq_38785977的博客
07-08 718
目前主流的权限模型有两种:基于角色的访问控制(Role-Based Access Control,简称 RBAC),指的是通过用户的角色(Role)授权其相关权限,实现了灵活的访问控制,相比直接授予用户权限,要更加简单、高效、可扩展。 当使用 RBAC模型 时,通过分析用户的实际情况,基于共同的职责和需求,授予他们不同角色。这种 用户 -> 角色 -> 权限 间的关系,让我们可以不用再单独管理单个用户权限,用户从授予的角色里面获取所需的权限。 以一个简单的场景(Gitlab 的权限系统)为例,用户系统中有
RBAC vs ABAC
charly
02-22 4542
RBAC(Role-based Access Control) 基于角色的权限控制 其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变...
Kubernetes中的角色访问控制机制(RBAC)支持
Kubernetes中文社区
05-25 7454
原标题: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS:在Kubernetes1.6版本中新增角色访问控制机制(Role-Based Access,RBAC)让集群管理员可以针对特定使用者或服务账号的角色,进行更精确的资源访问控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简
权限管理中的RBACABAC
hhhhhhhhhhhhhhhc的博客
07-21 5896
权限管理中的RBACABAC
RBAC模式
junxunfs的博客
05-30 660
RBAC 基于角色的访问控制权限的基本模型 定义 RBAC(Role-Based Access Control),也就是所谓的**“基于角色的访问控制权限”**。 优势 在RBAC中,用户不再直接与权限相连,而是通过“角色”这一属性来间接的被赋予权限,用户通过成为适当的角色来的到这些角色固有的权限,这样处理就解耦了用户与权限的关系。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依
设计模式-代理模式-以权限控制为例
weixin_48886954的博客
08-07 129
代理模式的应用在实际中非常多,这里无法全部一一介绍,每个代理模式应用的具体实现也可能会有较大的区别,不过通过案例也可以了解到,代理模式本身相当于在客户端与目标对象直接额外增加一层关口,可以起到管控的作用也可以起到扩展的作用。
访问控制、RBACABAC模型
dreamsofa的专栏
11-06 456
ABAC 的思想基于属性的、可扩展的、可灵活定制的一种访问控制规则引擎、类似如groovy、drools、js等执行引擎可以作为规则引擎的一种实现方式。而基于关系型数据库的数据控制可以将访问策略转换为SQL的属性查询条件, 如对象A的创建者可读策略对应的检查条件可能为:where A.creatorId=Subject.id。
ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景
02-23
ACL(访问控制列表)模型通常用于简单的访问控制,例如限制某个用户访问系统的某些功能。DAC(访问控制决策)模型可以在用户进行某个操作时,根据用户的角色、权限等因素来决定该操作是否可以完成。MAC(强制访问控制)模型用于划分系统的安全级别,以确保更多的安全性。RBAC(基于角色的访问控制)模型是一种基于角色的访问控制,它将权限与特定的角色关联起来,而不是与单个用户关联起来。ABAC(基于属性的访问控制)模型是一种基于属性的访问控制,它可以根据用户的属性(如角色、部门等)来决定用户是否具有某种权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值