权限管理模型学习

最新推荐文章于 2024-03-25 14:29:28 发布
最新推荐文章于 2024-03-25 14:29:28 发布
阅读量683 收藏 1
点赞数 1
分类专栏: 权限管理 文章标签: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45800567/article/details/123323042
版权

一、RBAC

RBAC模型概述

  1. RBAC(Role-Based Access Control )基于角色访问控制,将权限的过程抽象概括为Who对What进行How访问操作,由Who,What,How构成访问权限三元组

  1. Who:权限的主体,使用者

  2. What:权限针对的对象

  3. How:具体的权限,操作

RBAC模型组成

  1. 有三个组成部分,用户,角色,权限

    1. User:用户,每个用户用唯一UID标识,并授予不同的角色

    2. Role:角色,不同角色具有不同的权限

    3. Permission:权限,包括操作和控制的对象

    4. User-Role映射:用户和角色之间映射关系

    5. Role-Permission映射:角色和权限之间映射关系

  2. 关系图

RBAC的4种模型

  1. RBAC0

    1. 最基础的模型

    2. 用户和角色之间可以是多对多映射关系

    3. 角色和权限之间也可以是多对多映射关系

  2. RBAC1模型

    1. 在RBAC0的基础上上引入了角色间的继承关系

    2. 角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构,实现角色间的单继承。

  3. RBAC2

    1. 在RBAC0的基础上增加了角色的访问约束,即责任分离关系。

    2. RBAC2 的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了 RBAC2 模型中用户的权限。

    3. 具体约束

      1. 互斥角色:同一用户只能分配到一组互斥角色集合中至多一个角色,支持责任分离的原则。

      2. 基数约束:一个角色被分配的用户数量有限。

      3. 先决条件角色:可以分配角色给用户仅当该用户已经是另一角色的成员,指要想获得较高的权限,要首先拥有低一级的权限。

      4. 运行时互斥:一个用户拥有两个角色,但在运行时只能激活其中一个角色。

  4. RBAC3

    1. 包含了 RBAC1 和 RBAC2 既提供了角色间的继承关系,又提供了责任分离关系 

适用的场景和资源

  1. 场景:企业数据 

  2. 适用资源:客户信息

缺点

  1. 粗粒度和静态:RBAC仅基于用户角色来限制授权,而忽略其他显着属性,例如时间,位置或设备。它具有固定的访问权,没有临时更改的规定(例如:一个部门的工人临时分配给另一部门)。

  2. 角色爆炸:随着公司的扩展,通常会定义成千上万的相似但略有不同的角色。可能很难说出它们之间的差异或如何正确分配它们。此外,可能很难跟踪更改角色或离开的用户的角色,并且可能不会撤消不需要的权限,从而造成安全风险以及合规性和审核问题。 

参考链接

RBAC 简单介绍 067

RBAC权限系统分析、设计与实现 - shuwoom的博客

完整的权限设计(RBAC) - 简书

【权限系统设计】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景_小隐乐乐_InfoQ写作平台

二、ACL

ACL模型概述

  1. acl是指控制访问列表,规定资源可以被哪些主体进行哪些操作。主要包含三个关键要素用户(User)、资源(Resource)和操作(Operate)

  2. 在ACL权限模型下,权限管理是围绕资源来设定的

  3. 可以对每个资源建立一个权限表,当一个用户想要对该权限进行操作时,需要查表来检测该用户是否具有相关的权限。

  4. 在粗粒度和相对静态的情况下比较容易维护

ACL模型的另外两种实现

DAC

  1. dac自主访问控制,规定资源可以被哪些主体进行哪些操作同时,主体可以将资源、操作的权限,授予其他主体。是acl的一种具体的实现,具有很好的灵活性。在ACL的基础上,DAC模型将授权的权力下放,允许拥有权限的用户,可以自主地将权限授予其他用户。

  2. 适用场景

    1. 场景:文件系统 

    2. 适用资源:人事培训文档

MAC

  1. mac强制访问控制

    1. 规定资源可以被哪些类别的主体进行哪些操作

    2. 规定主体可以对哪些等级的资源进行哪些操作

    3. 当一个操作,同时满足a与b时,允许操作。

  2. MAC是ACL的另一种实现,强调安全性。MAC会在系统中,对资源与主体,都划分类别与等级。比如,等级分为:秘密级、机密级、绝密级;类别分为:军事人员、财务人员、行政人员。

  3. 适用场景

    1. 场景:保密系统 

    2. 适用资源:机密档案

参考链接

【权限系统设计】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景_小隐乐乐_InfoQ写作平台

权限模型:ACL_yimtcode-CSDN博客_acl模型

三、ABAC

ABAC模型概述

  1. ABAC 基于属性的访问控制,是通过实体的属性、操作类型、相关的环境来控制是否有对操作对象的权限。

  2. 不同于常见的将用户通过某种方式关联到权限的方式,ABAC则是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断

  3. 规定哪些属性的主体可以对哪些属性的资源在哪些属性的情况下进行哪些属性的操作

缺点

  1. 权限判断需要实时执行,规则过多会导致性能问题

  2. 规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦

  3. 定义权限时,不能直观看出用户和对象间的关系

参考链接

【权限系统设计】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景_小隐乐乐_InfoQ写作平台

ABAC - 应用身份服务 - 阿里云

dengh57
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理shiro学习总结
09-19
1. 了解基于资源的权限管理方式 2. 权限数据模型 3. 基于url的权限管理(不适应shiro实现权限管理) 4. Shiro实现用户认证 5. Shiro实现用户授权 6. Shiro与企业web整合开发方法
权限管理系统学习资料
11-07
通用权限管理系统B/S开发框架(以下简称B/S开发框架),可以辅助我们快速开发Web应用程序。开发框架已经具备了用户注册、登录、注销、菜单管理等基础功能,并且提供了页面框架(FrameSet)模型和相应的CSS。 开发者...
权限管理模型 ---- ACL、RBAC和ABAC(详解)
brother_Cheng_Py的博客
12-17 1万+
前言 在管理系统中会涉及到很多用户权限相关问题,对于不同的系统所使用的的权限管理模型也是多样的。 ACL 基于用户的权限管理模型 基于用户的概念就是说直接对用户进行权限分配管理,好处是模型构建简单,只需要给用户授予或者取消对应权限即可。但是相对的,如果用户数量庞大的情况下,这套模型就很不实用。因为需要对每一位用户对应权限进行维护,这导致维护成本太高。 ACL模型表结构很简单,只需要用户user表和权限节点node以及user和node的多对多关系表us...
Rbac权限管理--如何设计
热门推荐
Jonah的博客
06-19 3万+
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限-资源”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,权限与资源之间一般是多对多的关系。 项目背景: 设计一个Rbac权限管理微服务,供其他模块使用。 RBAC ServerNOTE
RBAC用户角色权限管理模型设计(全网最全没有之一)
最新发布
weixin_57909742的博客
03-25 1475
RBAC(Role-Based Access Control),即基于角色的访问控制,是一种广泛应用于信息安全领域的访问控制模型。RBAC的核心思想是将系统中的用户按照其角色进行分类,然后定义不同角色具有的权限,最后指定哪些用户属于哪些角色,从而实现权限管理
结合RBAC模型讲解权限管理系统需求及表结构创建
Addisoni
11-26 413
在本号之前的文章中,已经为大家介绍了很多关于Spring Security的使用方法,也介绍了RBAC的基于角色权限控制模型。但是很多朋友虽然已经理解了RBAC控制模型,但是仍有很多的问题阻碍他们进一步开发。比如: RBAC模型的表结构该如何创建? 具体到某个页面,某个按钮权限是如何控制的? 为了配合登录验证表,用户表中应该包含哪些核心字段? 这些字段与登录验证或权限分配的需求有什么...
【权限控制】ACL、RBAC、ABAC三大权限管理模型,到底怎么选?
余浩的博客
07-03 2772
系统规模:对于小型系统,ACL 可能是足够简单的解决方案。而对于大型系统,RBAC 或 ABAC 可能更适合。复杂性:RBAC 和 ABAC 提供了更高级别的权限管理功能,但也带来了更多的复杂性。根据系统需求和管理员的技能来评估是否需要更复杂的模型。灵活性:如果需要灵活性和动态的权限管理,ABAC 是更好的选择。RBAC 提供了一种适度的灵活性,而 ACL 则较为静态。
RBAC权限模型
qq_36350266的博客
02-25 2491
一、前言 权限一句话来理解就是对资源的控制,对web应用来说就是对url的控制,关于权限可以毫不客气的说几乎每个系统都会包含,只不过不同系统关于权限的应用复杂程序不一样而已,现在我们在用的权限模型基本上都是以RBAC为基础进行扩展的,我们今天就将RBAC权限模型进行下介绍。 二、RBAC模型 RBAC是Role-BasedAccess Control的英文缩写,意思是基于角色的访问控制。RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what...
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Spring的security模块,实现用户管理和权限控制,是一套较为通用的权限控制功能,主要内容如下: 1.登录,包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码1234; 3.拦截器...
权限管理系统
12-29
帮助那些想了解或学习权限管理基本原理的同仁们。功能-角色-模型-用户之间的数据关系、、、此项目相当适合
Spring Boot+Maven+Spring Data JPA+apache Shiro+Easyui实现通用用户权限管理系统
11-26
日常工作中,权限管理是管理系统必不可少的功能。网络上有各种各样的权限管理系统,不过用别人的总不如自己写一套来的踏实。之前本菜鸟分享的例子里有各种技术点的分项实例,这次做一个综合,形成自己的简单通用的...
一个通用的权限管理模型的设计方案
04-04
一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案
ACL 模型
Java技术点滴
11-03 1325
基于ACL的实现 ACL介绍 ACL全称Access Control List,在ACL中,包含用户(User)、资源(Resource)、资源操作(Operation)三个关键要素。通过将资源以及资源操作授权给用户而使用户获取对资源进行操作的权限,模型如下图所示:图表 1 ACL模型实现方案 通过上面对ACL模型的介绍,可以
关于权限分配设计概要
纯金.NET
06-23 2656
收集自:J道---------------------------- 前言:权限往往是一个极其复杂的问题,但也可简单表述为这样的逻辑表达式:判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。针对不同的应用,需要根据项目的实际情况和具体架构,在维护性、灵活性、完整性等N多个方案之间比较权衡,选择符合的方案。目标:直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解
权限管理控制与RBAC模型
MyArray的博客
07-20 1698
                                  1. 权限系统与RBAC模型概述 RBAC(Role-Based Access Control )基于角色的访问控制。 RBAC认为权限的过程可以抽象概括为:判断【Who是否可以对What进行How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。 即将权限问题转换为Who、What、How的问题...
rbac 一个用户对应多个账号_后台系统:基于RBAC模型的权限设计
weixin_39769187的博客
11-12 241
对于业务复杂或数据庞大的系统,为了方便管理,一定要做权限设计。权限设计是后台系统要考虑的一个授权策略问题。直白的说,权限设计就是根据公司的业务规则,对权限管理系统设置的安全策略。权限一般分为功能权限,数据权限与菜单权限。功能权限控制当前账号可以操作的功能按妞,比如风控只能审核标的登记,但不能发起进件申请。数据权限控制当前账号可以看到的数据范围,比如客服A只能看到分配到她名下的出借人的投资...
用户权限管理 最常用的架构模型介绍
u010291330的博客
03-20 1118
近期论坛有好几个帖子都在问权限如何管理,给大家分享下吧。
权限控制模型—RBAC
阿鹏的博客
02-10 3387
RBAC(Role-Based AccessControl,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。 与ACL实现的区别在于,不能直接为用户分配权限,只能从角色那里继承而来。 1.RBAC权限模型   在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。(如下图)      角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如:一个论坛系统...
auxre 后台管理平台模型
06-27
除此之外,auxre 后台管理平台模型还具备自定义权限管理、文件管理、客户管理等常见管理功能,可快速满足各种业务需求,同时还可与第三方工具集成,提高了平台的可扩展性和应用适用范围。 总之,auxre 后台管理平台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值