【权限控制】ACL、RBAC、ABAC三大权限管理模型,到底怎么选?

最新推荐文章于 2024-04-22 22:28:40 发布
最新推荐文章于 2024-04-22 22:28:40 发布
阅读量3k 收藏 9
点赞数 1
分类专栏: 权限控制 文章标签: 前端 javascript 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42960907/article/details/131511481
版权

ACL、RBAC 和 ABAC 是三种常见的权限管理模型,每种模型在不同的场景下都有适用性。选择哪种权限管理模型取决于具体需求和环境。

ACL(Access Control List:访问控制列表)

ACL 是最简单的权限管理模型之一。它基于对象主体之间的关系来控制访问权限。ACL 将权限直接与用户或用户组相关联,管理员直接给用户授予某些权限即可。
这种模型适用于小型和简单系统,其中权限控制较为简单,并且角色和权限的变化较少。

RBAC(Role-Based Access Control,基于角色的访问控制)

RBAC 是应用最广泛的权限管理模型之一。它通过定义角色和角色的权限集合来管理访问控制。用户被分配到角色,角色与权限相关联,从而精确地控制用户对系统资源的访问。
RBAC 适用于大型系统,特别是那些需要灵活、可扩展的权限管理的场景。使用 RBAC 可以简化权限管理的复杂性并提高系统的安全性。
在这里插入图片描述

RBAC权限管理的模式,最适合公司内部的管理系统,不适合对外互联网用户的系统。

用户:用户表
角色(部门):角色表(部门表)
权限:权限表

权限:是授予角色的(或者说部门,或者说组),一个个角色,就是一条条记录(对应到公司就是开发部,hr部门,股东部)。

用户:一个个用户是用户表中一条条记录,用户属于某个部门,就具备了部门下的权限。

三张表之间的关系:

  • 用户和角色关系:多对多,中间表
  • 角色和权限关系:多对多,中间表

那么就一共有了5张表:

  1. 用户表
  2. 角色表
  3. 权限表
  4. 用户和角色关联表
  5. 角色和权限关联表

ABAC(Attribute-Based Access Control,基于属性的访问控制)

ABAC(Attribute-Based Access Control,基于属性的访问控制),又称为PBAC(Policy-Based Access Control,基于策略的访问控制),或CBAC(Claims-Based Access Control,基于声明的访问控制)。ABAC 是一种基于属性的权限管理模型,它根据多个属性(如用户属性、环境条件、时间等)来进行访问控制决策。ABAC 通过定义策略来决定用户是否有权访问特定的资源。
这种模型适合于需要更细粒度、动态和灵活的访问控制的场景。ABAC 在复杂的环境中可以提供高度的可配置性和可扩展性。
在这里插入图片描述

不同于常见的将用户通过某些方式关联到权限的方式,ABAC则是通过动态计算一个或一组属性来判断是否满足某种条件来进行授权判断(可以编写简单的逻辑)。

属性通常来说分为四类:

  1. 用户属性(比如用户年龄,用户地址)
  2. 环境属性(比如当前时间)
  3. 操作属性(增、删、改、查)
  4. 对象属性(比如一篇文章,又称资源属性)
    特点:

集中化管理

  • 可以按需求实现不同颗粒度的权限控制
  • 不需要预定义判断逻辑,减轻了权限系统的维护成功,特别是在需求经常表的系统重
  • 定义权限时,不能直接看出用户和对象间的关系
  • 规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦
  • 权限判断需要实时执行,规则过多会导致性能出现问题

总结

选择适当的权限管理模型需要考虑以下因素:

  • 系统规模:对于小型系统,ACL 可能是足够简单的解决方案。而对于大型系统,RBAC 或 ABAC 可能更适合。
  • 复杂性:RBAC 和 ABAC 提供了更高级别的权限管理功能,但也带来了更多的复杂性。根据系统需求和管理员的技能来评估是否需要更复杂的模型。
  • 灵活性:如果需要灵活性和动态的权限管理,ABAC 是更好的选择。RBAC 提供了一种适度的灵活性,而 ACL 则较为静态。

Casbin快速实现权限控制

Casbin是一个支持如ACL, RBAC, ABAC等访问模型,可用于Golang, Java, C/C++, Node.js, Javascript, PHP, Laravel, Python, .NET (C#), Delphi, Rust, Ruby, Lua (OpenResty), Dart (Flutter)和Elixir的授权库。
Casbin中文文档 : https://casbin.org/zh/

卸载引擎
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jcasbin:一个授权库,支持Java中的访问控制模型,如ACLRBACABAC
02-03
卡斯宾 新闻:仍然担心如何编写正确的jCasbin策略? Casbin online editor提供帮助! 请尝试: : jCasbin是用于Java项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 准备生产 准备生产 准备生产 准备生产 准备生产 准备生产 Beta测试 准备生产 目录 支持机型 具有ACL 没有用户的ACL :对于没有身份验证或用户登录的系统特别有用。 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定文章或日
IAM中的ACLRBACABAC三大权限管理模型到底怎么?
trusfort的博客
04-18 1338
说接上篇
BootstrapAdmin Net7:基于RBAC的后台管理框架,实现精细化权限管理与多站点单点登录
chenchuang0128的博客
04-22 1148
基于 RBAC 的 Net7 后台管理框架,权限管理,前后台分离,支持多站点单点登录,兼容所有主流浏览器,内置微信、支付宝、QQ等多种登录方式,内置多种样式,可切换至 Blazor 多 Tabs 模式,权限控制细化到网页内任意元素(按钮、表格、文本框等等)一直需要一款后台管理系统,但是网上很多开源项目都是 Java 开发的,本人是 NET 平台的对 Java 一窍不通,C#版本的本来就少而且还没有合适的。于是决定自己开发一套后台管理系统。
权限控制ACLRBAC【清晰易懂】
weixin_44391786的博客
01-20 1335
权限控制ACLRBAC
权限管理模型 ---- ACLRBACABAC(详解)
热门推荐
brother_Cheng_Py的博客
12-17 1万+
前言 在管理系统中会涉及到很多用户权限相关问题,对于不同的系统所使用的的权限管理模型也是多样的。 ACL 基于用户的权限管理模型 基于用户的概念就是说直接对用户进行权限分配管理,好处是模型构建简单,只需要给用户授予或者取消对应权限即可。但是相对的,如果用户数量庞大的情况下,这套模型就很不实用。因为需要对每一位用户对应权限进行维护,这导致维护成本太高。 ACL模型表结构很简单,只需要用户user表和权限节点node以及user和node的多对多关系表us...
权限设计,设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC
qq_40861800的博客
07-09 3533
权限设计,设计模型分析(DAC,MAC,RBAC,ABAC) 之 RBAC:角色的权限控制
Vue项目之---RBAC权限设计
weixin_43323097的博客
08-07 873
Vue项目之---RBAC权限设计
13 VUE-admin实现RBAC权限管理
THE ORDER
09-06 234
除此之外,我们发现在页面刷新的时候,本来应该拥有权限的页面出现了404,这是因为404的匹配权限放在了静态路由,而动态路由在没有addRoutes之前,找不到对应的地址,就会显示404,所以我们需要将404放置到动态路由的最后。在上面的,我们已经把给用户分配了角色, 给角色分配了权限,那么在用户登录获取资料的时候,会自动查出该用户拥有哪些权限,这个权限需要和我们的菜单还有路由有效结合起来。上小节中,当我们拥有了一个模块,一个页面的访问权限之后,页面中的某些功能,用户可能有,也可能没有,这就是功能权限
ACL 模型
Java技术点滴
11-03 1333
基于ACL的实现 ACL介绍 ACL全称Access Control List,在ACL中,包含用户(User)、资源(Resource)、资源操作(Operation)三个关键要素。通过将资源以及资源操作授权给用户而使用户获取对资源进行操作的权限模型如下图所示:图表 1 ACL模型实现方案 通过上面对ACL模型的介绍,可以
一个授权库,支持访问控制模型,如Golang中的ACL RBAC ABAC.zip
最新发布
05-25
在这个场景中,我们关注的是一个授权库,它支持多种访问控制模型,包括Golang环境下的ACL(Access Control List)、RBAC(Role-Based Access Control)以及ABAC(Attribute-Based Access Control)。下面我们将深入...
casbin:授权库,支持Golang中的访问控制模型,如ACLRBACABAC
02-04
卡斯宾 新闻:仍然担心如何编写正确的Casbin策略? Casbin online editor提供帮助!... 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制RBAC模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过uniapp和uView框架,能够灵活发布H5和微信小程序。 技术构成: - 主要编程语言:Python - 前端技术栈:Vue.js、JavaScript、HTML、CSS(SCSS) - 文件构成:共546个文件,具体分布如下: - Vue文件:254个 - JavaScript文件:108个 - Python文件:57个 - SVG图像文件:47个 - PNG图片文件:18个 - SCSS样式文件:17个 - JSON配置文件:7个 - Markdown文档:6个 - Git忽略配置:5个 - YAML配置文件:3个 该平台为开发人员提供了一个具有完善权限控制的后台管理系统,支持快速开发具有复杂权限需求的中后台应用。
casbin-rs:一个授权库,支持Rust中的访问控制模型,如ACLRBACABAC
02-05
除了基本的 ACLRBAC,`casbin-rs` 还支持 ABAC 模型,这意味着开发者可以根据具体需求择合适的访问控制策略。 3. **高效的执行引擎**: 库内建了一个高效的决策引擎,能够快速地处理大量的权限检查请求,...
php-casbin:一个授权库,支持PHP中的访问控制模型,如ACLRBACABAC
02-05
| | 最新消息: 现在可用,它是Laravel框架的授权库。 ... 它为基于各种授权实施提供支持。 Casbin支持的所有语言: ...新建一个带有模型文件和策略文件的Casbin强制程序: require_once './vendor/autoload.php' ; use
访问控制RBACABAC模型
dreamsofa的专栏
11-06 401
ABAC 的思想基于属性的、可扩展的、可灵活定制的一种访问控制规则引擎、类似如groovy、drools、js等执行引擎可以作为规则引擎的一种实现方式。而基于关系型数据库的数据控制可以将访问策略转换为SQL的属性查询条件, 如对象A的创建者可读策略对应的检查条件可能为:where A.creatorId=Subject.id。
权限系统】权限系统设计模型分析(DAC,MAC,RBACABAC
红尘道,红尘练心
07-26 540
权限系统设计可谓博大精深,这篇文章只是介绍了一点皮毛。随着人类在信息化道路上越走越远,权限系统的设计也在不断创新,但目前好像处在了平台期。可能因为在RBACABAC之间有着巨大的鸿沟,无法轻易跨越,也可能是一些基于RBAC的微创新方案还不够规范化从而做到普及。不过在服务化架构的浪潮下,未来这一块必然有极高的需求,也许巨头们已经开始布局了。
前后端开发实践(Vue3 + DRF)上:Django + RestFramwork实现后台代码
liqiyu2014的博客
03-30 1285
前后端开发实践(Vue3 + DRF):Django + RestFramwork实现后台代码
rbac简介】
Ban_a的博客
06-22 269
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中, 权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便这种设计,在公司内部系统用的多,对外的系统基本不用#前后端分离项目控制权限—》权限类中 #前后端混合 -django框架在公司里用的很多,写内部项目,肯定要用权限控制,用的就是rbac,自己实现一套,djan
二、drf_admin(权限RBAC)后台管理系统(配置篇)
Mr_w_ang的博客
01-31 2828
二、drf_admin(权限RBAC)后台管理系统(配置篇) drf_admin采用Python、Django、DRF等技术开发,志在用最短的时间、最简洁的代码,实现开箱即用的后台管理系统。 欢迎访问drf_admin;欢迎star,点个☆小星星☆哦。 项目地址 drf_admin(后端):https://github.com/TianPangJi/drf_admin fe_admin(前端):https://github.com/TianPangJi/fe_admin 系列文章 一、drf_admin(
ACL RBAC ABAC 区别
06-02
ACL(Access Control List,访问控制列表)、RBAC(Role-Based Access Control,基于角色的访问控制)和 ABAC(Attribute-Based Access Control,基于属性的访问控制)都是常见的权限控制方法,它们的区别如下: 1. ACL 是最基本的权限控制方法,通过定义用户和资源的访问权限列表来控制用户对资源的访问。ACL 的缺点是管理麻烦,容易出现权限过于复杂的情况。 2. RBAC 是在 ACL 的基础上发展起来的,通过定义角色和权限的关系来控制用户对资源的访问。RBAC 的优点是管理方便,易于维护和扩展,适合大型系统和组织。 3. ABAC 是在 RBAC 的基础上发展起来的,通过定义属性和规则的关系来控制用户对资源的访问。ABAC 的优点是更加灵活和细粒度,可以根据具体的属性和规则来控制用户的访问。ABAC 适合对安全和隐私要求比较高的系统和场景。 总的来说,ACL 是最基础的权限控制方法,适合简单的系统和场景;RBAC 是一种成熟的权限控制方法,适合大型系统和组织;ABAC 是一种更加灵活和细粒度的权限控制方法,适合对安全和隐私要求比较高的系统和场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卸载引擎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值