一:什么是RBAC?
RBAC 就是用户通过角色与权限进行关联。在网站中,用户通过URL地址,进入网站的后端逻辑,从而对网站的数据库进行操作管理。可以让拥有权限的用户来完成操作,而没有权限的用户无法操作。
例如,人力资源部员工可以查看员工记录,但不能查看客户数据。人力资源经理可以删除或更改人力资源记录,而较低级别的人力资源专家只能查看这些记录。
RBAC认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。
Who:是权限的拥有者或主体(如:User,Role)。
What:是操作或对象(operation,object)。
How:具体的权限(Privilege,正向授权与负向授权)。
二:RBAC的生命周期?
1、用户登陆验证
2、根据用户身份验证信息,获取用户的角色---所有
3、通过用户所绑定的角色,获取这个角色绑定的所有权限,并去重----存储session/ redis
4、查询用户所==访问的URL==是否在角色的权限内,如果在,则继续访问,如果不在,拒绝访问
三:什么是RBAC的角色?
角色是用于构建权限的语义结构。角色可