rbac 一个用户对应多个账号_平台化服务的基石(一):用户认证模型设计

最新推荐文章于 2023-09-11 16:35:05 发布
VIP文章 最新推荐文章于 2023-09-11 16:35:05 发布
阅读量623 收藏 1
点赞数
文章标签: rbac 一个用户对应多个账号

8d1b439e56de27de8065ebbf527c4966.png
用户权限(IAM)可以说是平台化建设最基础的服务,该服务建设的好差直接关系到平台化建设的成败。而用户及认证体系的设计更是基础中的基础,可谓是牵一发而动全身。本文我们以问题导向,聊一聊用户认证模型的设计。

基本概念

身份识别与访问管理(IAM,Identity and Access Management)包含了四个重要概念:

  • 认证(identification):确认访问者的身份,可通过用户名+密码, 手机号+验证码等方式,常见于登录操作
  • 授权(authorization): 为访问者委派权限并返回凭证,常见于Token形式
  • 鉴权(authentication): 根据访问者凭证确定访问者身份,常见于基于请求Token找到对应的账号
  • 权限控制(permission control): 根据访问者的权限配置及访问对象判断权限合法性,常见于基于ACL/RBAC模型扩展实现权限管理

这四个词在后文会经常提及,不要混淆。

用户隔离

作为平台服务需要支撑不同的组织粒度,比如不同的部门、业务线、公司,而不同组织粒度对用户信息有不同的隔离要求,比如一般而言,不同公司之间用户是隔离的,即用户U1在公司C1与公司C2下是两个独立的对象,可以有不同的密码、不同的个人信息,再如一般而言同一公司不同业务线间用户应该是共享,用户U1在业务系统S1中改了密码那么在同一公司的业务系统S2中也会修改。

9639e918b871281284e42a692dd35f2b.png

这时我们就引出用户模型最基础的概念:租户、应用。

租户(Tenant)是数据隔离单位,不同租户间的数据不能共享(也有例外,后续文章会涉及“超级租户”)。一个租户可以有多个应用,应用(App)面向

最低0.47元/天 解锁文章
weixin_39787057
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rbac-manager:一个Kubernetes运算符,可简角色绑定和服务帐户的管理
02-03
RBAC Manager旨在简Kubernetes中的授权。 这是一个支持使用新的自定义资源为RBAC进行声明式配置的运算符。 您可以指定所需的状态,而不是直接管理角色绑定或服务帐户,并且RBAC Manager将进行必要的更改以实现该状态。 该项目具有三个主要目标: 为RBAC提供一种声明性方法,该方法更加平易近人且可扩展。 减少出色身份验证所需的配置量。 使用CI / CD启用RBAC配置更新的自动。 想了解更多? ( ),发送电子邮件至[email protected] ,或加入我们的 一个例子 要完全了解RBAC Manager的工作方式,请看一个简单的示例很有帮助。 在这个例子中,我们将有一个用户,乔,需要edit的接入web命名空间和view访问api命名空间。 使用RBAC,需要创建2个角色绑定,第一个授予对web名称空间的edit访问权限。 请注意使用golang大写字母,而不是在某些地方使用Kubernetes命名为roleBinding和clusterRole 。 kind : RoleBinding apiVersion : rb
SAAS思考
David
07-18 731
1. 分层设计 在系统最前端的层就需要进行租户识别 分层: 呈现层,调度层,业务层,数据层 呈现层是共享的,所有租户都是一致的。 调度层必须进行租户识别,并将不同租户的请求调度至不同子系统 业务层对租户是透明的,所有租户都相同 数据层,必须做好租户安全隔离 2. 数据隔离要透明 不需要业务开发人员在代码中编码隔离不同租户数据 3. 租户识...
多租户概要
dusuanyun的博客
05-02 429
1.什么是多租户? 我们先看看这样的场景:你们公司开发了一套应用程序,你们公司自己买相关的资源部署了,可是有其他的公司也觉得好,也想搞这样一套,其实操作也简单按照你们公司实施的在其他公司实施一遍即可。 但是,问题来了,并不是每个公司都这么有钱,有很多可能是个体户,他们只想花少量的钱既有系统可用,又不需要管理维护硬件。怎么办?多租户模式解决! 所谓多租户,简单地说:部署一套应用程序,应用数据隔...
iam role使用场景_使用IAMRBAC保护Amazon EKS集群
weixin_26752759的博客
09-15 849
iam role使用场景You may have heard people refer to Kubernetes as API centric. That is, what happens in the cluster revolves around a core component in the control plane (or master node) known as the API S...
如何设计一个权限系统
qianshanding0708的博客
05-21 834
权限系统设计前言权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题...
IAM、EIAM、CIAM、RAM、IDaaS 都是什么?
最新发布
极客点儿
09-11 1590
后端程序员在做ToB产品或者后台系统时,都不可避免的会遇到账号系统、登录系统、权限系统、日志系统等这些核心功能。这些功能一般都是以SSO系统、RBACIAM
21-一个帐号管理系统的建模过程【用例图】
csy228779856的博客
07-31 982
一个帐号管理系统。背景:在一个企业中,会使用很多不同的系统,比如SAP,PLM,OA,EMAIL等很多不同的系统,需要使用系统的人都需要拥有帐户,然后这个帐户会拥有不同的访问权限,而且很多权限都是有期限限制的。使用系统的前提是大...
rbac0:一个rbac0模型基础PHP
05-14
rbac0 一个rbac0模型基础PHP
userd:一个通过RBAC实现承租人感知用户的守护进程
03-08
用过的 一个通过RBAC实现承租人感知用户的守护进程
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Spring的security模块,实现用户管理和...5.用户-角色-权限使用常规RBAC模型用户到角色,角色到权限均为多对多关系映射; 6、用到的表分别为: 用户表 角色表 权限表 用户角色表 角色权限表
rbac:一个实现基于角色的访问控制的认证和授权库
06-03
这是一个实现基于角色的访问控制的身份验证和授权库,它将被插入到 Spring Security Framework 中。 特征 基于角色的授权。 可以使用 SPEL 表达式进行配置。 本地身份验证提供程序。 密码使用 HMAC-SHA256 编码。 ...
用ChatGPT,绘制一个账号系统的C4架构图
架构未来
02-24 8094
hi,我是熵减,见字如面。 昨天我们用ChatGPT来设计一个账号系统,并尝试输出:模型表,类关系图,序列图,状态图等常用的架构设计中常用的元素。 今天,我们继续向更高层级延伸一下,看ChatGPT能不能更进一步释放工程师的生产力,创造更多的可能性。 所以,这次我们就来尝试用ChatGPT,来构建账号系统的C4模型的架构图啦。 由于ChatGPT不能直接输出图像,所以我们转为用Mermaid的...
垂类账号权限平台设计与实践
魏小言的博客
04-12 799
目录 垂类账号权限平台设计与实践 一、前言 二、账号登录服务 2.1 企业组织与账号模型 2.2 稳定高效可配置的统一登录服务 2.3 OAuth能力 三、权限服务 3.1 问题与思路 3.2 复杂的功能鉴权 3.3 灵活扩展的数据鉴权 3.4 高性能高可用的鉴权服务 四、总结 垂类账号权限平台设计与实践 一、前言 百度 ToB 垂类账号权限平台( 以下简称平台 ),是专注于为百度 ToB 垂类各产品线提供通用账号权限服务的基础平台,所提供的服务涵盖了租户管理、账号管理
统一帐号体系业务及模型,三户模型
专注Java(全栈)应用开发,求知若渴,虚心若愚,而知也无涯
03-02 788
账户体系业务模型
统一帐号体系业务及模型
zhangbijun1230的专栏
10-29 2856
统一帐号体系业务及模型   1 统一帐号体系业务及模型  1.1、场景描述  我们经常会碰到这样的需求,比如某企业需要做一个投诉报修的小系统,每个投诉报修的用户,如果他是第一次用微信登录我们的系统,那么需要输入手机号码,验证了这个手机号码后,才能进入我们的系统,提交报修信息。第一次报修后,以后用户再次提交报修信息,即可以自动识别该用户,免去登录的麻烦。我们的系统要能在微信里面运行,还要能在微博...
解析「三户模型」及建立账户模型
热门推荐
CG国斌的博客
08-15 2万+
正文  账户体系是支付系统的基础,它的设计直接影响整个系统的特性。这里探讨如何针对电子商务系统的账户体系设计。我们从一些基本概念开始入手,了解怎么建模。1 三户模型  三户模型最早是在增强型电信运营图(Enhanced Telecom Operations Map,eTOM)中提出,在电信行业中得到广泛使用。 三户指客户(Customer)、用户(User)和账户(Account)。eTOM 引入是
用户体系之三户模型
诗人不写诗
09-18 2873
三户模型是电信行业业务系统普遍使用的模型。分别是客户,用户,账户。 在实际使用中,我们经常不加区分的使用客户和用户,随意使用客户和用户。正常情况下,涉及到客户体系时,我们需要使用客户,涉及不同产品使用人时,需要使用用户。在绝大多数系统中,客户等同与用户,且只有一个,但是在复杂系统中,会产生多个用户,比如支付宝,一个自然人客户,是可以注册多个用户的,在不同产品上,会判断不同用户是否是同一个客户,进行一些业务限制。
电商零售数仓建模之用户01:用户业务模型
数据饕餮
08-16 521
一、前言 数仓建模的成熟度在金融领域,尤其是银行、保险和证券行业得益于传统数据仓库服务厂商的推动,具有非常好的最佳实践,但是在互联网领域却从未形成真正的标准和规范。本文基于汽车电商零售领域的实践总结和沉淀而来,作为随笔,发布与此,共享给大家。 二、工作流程 数仓模型设计的工作流程,基于场景不同略有差异,Kimball维度建模工具箱中提到了四步骤建模法:活动选择、定义粒度、确定维度、确定指标,适合的是特定场景和特定业务活动的建模,并不适用开放型的场景和系统性的数仓建设。以下工作流程是改进之后的,自顶向下
AWS EKS使用RBAC授权IAM实体访问集群
weixin_41335923的博客
11-17 566
目录一、RBAC是什么?二、将IAM实体映射到K8S集群三、创建Role和RoleBinding四、测试五、总结参考 一、RBAC是什么? 基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。 RBAC 鉴权机制使用 rbac.authorization.k8s.io API 组 来驱动鉴权决定,允许你通过 Kubernetes API 动态配置策略。 RBAC 的核心逻辑组件是: 实体 组、用户服务帐户(代表想要执行某些操作(动作)并需要权限的
给我一个基于RBAC 模型权限数据库表设计
06-13
好的,以下是一个基于RBAC模型权限数据库表设计的示例: 用户表(user): - id:用户ID - name:用户名 - password:密码 角色表(role): - id:角色ID - name:角色名 权限表(permission): - id:权限ID -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值