权限管理 ACL、RBAC、ABAC的学习

最新推荐文章于 2024-04-18 14:45:00 发布
最新推荐文章于 2024-04-18 14:45:00 发布
阅读量462 收藏
点赞数 1
分类专栏: 随笔 文章标签: 学习 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyswit/article/details/132623192
版权

ACL(Access Control List:访问控制列表)

最简单的一种方式,将权限直接与用户或用户组相关联,管理员直接给用户授予某些权限即可。
这种模型适用于小型和简单系统,权限一块较为简单,并且角色和权限的变化较少。

RBAC(Role-Based Access Control,基于角色的访问控制)

最常见的一种方式,通过定义角色和角色的权限集合来管理访问控制。用户被分配到角色,角色与权限相关联,从而精确地控制用户对系统资源的访问。适用于大型系统,特别是那些需要灵活、可扩展的权限管理的场景。使用 RBAC 可以简化权限管理的复杂性并提高系统的安全性。

用户和角色的关系:多对多关系,一个用户可以有多种角色,一个角色对应好几个用户。

角色和权限的关系:多对多关系,一个角色可以拥有多种权限,同样某个权限可能有多个角色拥有

RBAC的扩展(NIST标准包含的4级RBAC模型)

RBAC0(Core RBAC)

基本模型有三个元素:用户、角色和权限。

模型设计基于“多对多”原则,即多个用户可以具有相同的角色,一个用户可以具有多个角色。同样,您可以将同一权限分配给多个角色,也可以将同一角色分配给多个权限。

RBAC1(Hierarchical RBAC)

添加了第四个组件-层次结构,它定义了不同角色之间的资历关系。通过允许高级角色自动获取下级角色的权限,可以消除冗余,例如在角色重叠时必须指定某些权限。

        分层RBAC支持几种类型的层次结构:

        树:自底向上的层次结构,树底部的元素将权限授予更高的元素。例如,底部是一个具有常规权限的部门角色,所有权限比较小,上面的节点除了继承底部节点的权限,还可以添加自有的权限,这可以满足不同部门拥有不用的权限也有相同的权限的需求。

        倒树:自上而下的层次结构,其中高级角色将其部分权限继承给下级角色。这种结构中层节点的权限均继承于底部节点,所以同层节点不存在共享权限。

        网格:二者相结合的组合,其中每个角色都可以从其下方和上方的节点继承权限。此种结构相对比较灵活,既可以有共享权限,也可以有自有权限,且顶级节点拥有最大的权限。

RBAC2(Static separation of duty (SSD) relations)

为了在存在利益冲突策略的情况下提供帮助,将根据用户分配添加角色之间的关系。即角色之间有相斥的联系,作为一个角色的成员的用户将无法被指派为具有利益冲突的角色的成员。

RBAC3(Dynamic separation of duty (DSD) relations)

与SSD一样,DSD限制了可用的用户权限,但基于不同的上下文。例如,根据会话期间执行的任务,用户可能需要不同级别的访问,DSD限制会话期间激活的权限。

使用RBAC的好处有哪些?

RBAC最大的优点之一是它提供了一种系统化的方法,用于定义和维护角色,能够仅根据用户需要一致地授予访问权限,从而降低数据泄露或数据丢失的风险。

当然他还有很多好处,比如:

  • 简化了基础操作,可以通过属性自动为新用户分配访问权限(可以用来快速入职)
  • 简化IT管理工作,可以快速重新分配权限
  • 降低高级访问控制的成本

RBAC存在的缺陷

1、需要了解组织结构知识

在真正运用的时候,需要对组织、部门等东西进行协调,并和之前所存在角色进行比较区分,并在参与讨论后才能定义并创建角色。

2、分配角色需要深思熟虑

分配角色可能是一项挑战。可能会出现很多问题,答案并不总是清晰的。例如:安全团队是否需要访问他们试图保护的数据,包含哪些访问权限(创建/读取/更新/删除)?是否应为用户分配部门之外的角色,以确保临时访问特权文件?

3、缺乏灵活性

组织成长,团队扩张,访问需求发生变化。在RBAC项目开始时定义的角色可能不再符合公司目标。

结果如何?人员的角色和权限级别可能不一致。例如,一个人可能被赋予过多的角色权限、分配过多的角色,或者两者兼而有之。虽然这些努力可能会起到快速修复的作用,但它们也会造成安全漏洞和法规遵从性挑战,从而打消了您最初实施RBAC的全部原因。

4、角色爆炸

一些团队试图通过定义越来越细粒度的角色、在出现新需求时创建临时角色,或将太多的角色分配给单个用户来回避上述问题。虽然这可能会在短期内缓解摩擦,但也会让RBAC变得混乱,难以管理。

ABAC(Attribute-Based Access Control,基于属性的访问控制)

又称为PBAC(Policy-Based Access Control,基于策略的访问控制),或CBAC(Claims-Based Access Control,基于声明的访问控制)。

是一种基于属性的权限管理模型,它根据多个属性(如用户属性、环境、时间、操作等)来进行访问控制决策。ABAC 通过定义策略来决定用户是否有权访问特定的资源。该模型适合于需要更细粒度、动态和灵活的访问控制的场景。ABAC 在复杂的环境中可以提供高度的可配置性和可扩展性。

有较好的灵活性,

Yangshiwei....
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jcasbin:一个授权库,支持Java中的访问控制模型,如ACLRBACABAC
02-03
卡斯宾 新闻:仍然担心如何编写正确的jCasbin策略? Casbin online editor... 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定文章或日
nt-casbin:nest.js with casbin auth Nest.js RBAC ABAC 权限管理
05-02
没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定文章或日志的访问。 具有资源角色的RBAC :用户和资源都可以同时具有角色(或组)。 ...
IAM中的ACLRBACABAC三大权限管理模型,到底怎么选?
trusfort的博客
04-18 1315
说接上篇
权限模型 DAC ACL RBAC ABAC
求道问术
06-23 401
主体以什么样的行为访问客体资源 访问实体 (Subject),访问资源 (Object) 和访问方法 (Action) 主体、客体、行为RBAC分为几个版本用户、角色、权限(资源、操作)SSD(静态职责分离)DSD(动态职责分离)根据实体属性、环境属性、操作属性进行权限控制 适合复杂的权限需求,可以满足所有权限需求............
权限控制】ACLRBACABAC三大权限管理模型,到底怎么选?
余浩的博客
07-03 3002
系统规模:对于小型系统,ACL 可能是足够简单的解决方案。而对于大型系统,RBACABAC 可能更适合。复杂性:RBACABAC 提供了更高级别的权限管理功能,但也带来了更多的复杂性。根据系统需求和管理员的技能来评估是否需要更复杂的模型。灵活性:如果需要灵活性和动态的权限管理ABAC 是更好的选择。RBAC 提供了一种适度的灵活性,而 ACL 则较为静态。
什么是ACLRBAC
程序员大航子
06-20 4638
这两种都是相关于权限认证的相关概念。 ACL: Access Control List 简介:以前非常盛行的一种权限设计,它的核心主要在于用户和权限直接挂钩。 优点:简单易用、开发便捷。 缺点:用户是直接和权限挂钩,导致了在授予权限的时候的复杂性,比较分散,不太易于管理。 例子:常见的文件系统,直接给用户家权限。比如给用户加读写的权限RBAC:Role Based Access Cont...
OPA 实现 ABAC 权限模型
qq798280904的博客
03-28 1467
基于角色的访问控制(Role-based access control,简称 RBAC),指的是通过用户的角色(Role)赋予其相关权限,这实现了细粒度的访问控制,并提供了一个相比直接授予单个用户权限,更简单、可控的管理方式。当使用 RBAC 时,通过分析系统用户的实际情况,基于共同的职责和需求,将他们分配给不同的角色。
【概念】权限管理模型(RBACABACACL
颜淡慕潇
10-13 9009
这三种权限管理模型,也可以说是设计理念;在web后端的开发中都是以用户为主体,构建起来都较为简单。当然,它们各自都有优缺,只是两权相难取其轻,具体开发过程中还需要权衡开发成本而选择。
权限管理模型 ---- ACLRBACABAC(详解)
热门推荐
brother_Cheng_Py的博客
12-17 1万+
前言 在管理系统中会涉及到很多用户权限相关问题,对于不同的系统所使用的的权限管理模型也是多样的。 ACL 基于用户的权限管理模型 基于用户的概念就是说直接对用户进行权限分配管理,好处是模型构建简单,只需要给用户授予或者取消对应权限即可。但是相对的,如果用户数量庞大的情况下,这套模型就很不实用。因为需要对每一位用户对应权限进行维护,这导致维护成本太高。 ACL模型表结构很简单,只需要用户user表和权限节点node以及user和node的多对多关系表us...
一个授权库,支持访问控制模型,如Golang中的ACL RBAC ABAC.zip
最新发布
05-25
ACL适用于简单的权限管理RBAC适合需要管理多用户角色的场景,而ABAC则为高度动态和复杂的访问需求提供了强大的解决方案。这个授权库为Golang开发者提供了实现这些模型的工具,从而能够在设计和实现安全系统时更加...
casbin:授权库,支持Golang中的访问控制模型,如ACLRBACABAC
02-04
卡斯宾 新闻:仍然担心如何编写正确的Casbin策略? Casbin online editor提供帮助!... 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定
pycasbin:授权库,支持Python中的ACLRBACABAC等访问控制模型
04-28
它为基于各种授权实施提供支持。 Casbin支持的所有语言: 卡斯宾 卡斯宾 节点卡宾 PHP的Casbin 准备生产 准备生产 准备生产 准备生产 皮卡斯宾 Casbin.NET 卡宾-CPP Casbin-RS 准备生产 准备生产 Beta测试 ...
权限系统】权限系统设计模型分析(DAC,MAC,RBACABAC
红尘道,红尘练心
07-26 520
权限系统设计可谓博大精深,这篇文章只是介绍了一点皮毛。随着人类在信息化道路上越走越远,权限系统的设计也在不断创新,但目前好像处在了平台期。可能因为在RBACABAC之间有着巨大的鸿沟,无法轻易跨越,也可能是一些基于RBAC的微创新方案还不够规范化从而做到普及。不过在服务化架构的浪潮下,未来这一块必然有极高的需求,也许巨头们已经开始布局了。
权限控制之ACLRBAC【清晰易懂】
weixin_44391786的博客
01-20 1332
权限控制之ACLRBAC
权限设计种类【RBACABAC
m0_60469045的博客
03-19 2012
ACL(Access Control List):每一个客体都有一个列表,列表中记录的是哪些主体可以对哪些客体做什么。缺点:当主体的数量较多时,配置和维护成本大,易出错。 DAC(Discretionary Access control):是ACL的扩展,在其基础上,允许主体可以将自己拥有的 权限自主地授予其他主体,权限可以随意传递。缺点:权限控制比较分散,主体权限太大,有泄露信息的危险。 MAC(Mandatory Access Control):双向验证机制,常用于机密机构或
关于权限设计的ACLRBAC的简单了解
a1498665771的博客
02-21 339
权限设计知识了解ACL&RBAC
RBACACL
艾伦
10-31 218
RBAC:Role Based Access Control,翻译过来基本上就是基于角色的访问控制系统,ACL:Access Control List,访问控制列表,是前几年盛行的一种权限设计,它的核心在于用户直接和权限挂钩。RBAC的核心是用户只和角色关联,而角色代表对了权限,这样设 计的优势在于使得对用户而言,只需角色即可以,而某角色可以拥有各种各样的权限并可继承。ACLRBAC相比缺点在于...
第二节 权限框架设计之ACLRBAC讲解
菜鸟联盟
08-24 394
1,介绍什么是ACLRBAC ACL: Access Control List 访问控制列表 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系统权限设计, 直接给用户加权限 RBAC: Role Based Access Control 基于角色的访问控制系统。权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限 优点:简化了用户与权
ACL RBAC ABAC 区别
06-02
ACL(Access Control List,访问控制列表)、RBAC(Role-Based Access Control,基于角色的访问控制)和 ABAC(Attribute-Based Access Control,基于属性的访问控制)都是常见的权限控制方法,它们的区别如下: 1. ACL 是最基本的权限控制方法,通过定义用户和资源的访问权限列表来控制用户对资源的访问。ACL 的缺点是管理麻烦,容易出现权限过于复杂的情况。 2. RBAC 是在 ACL 的基础上发展起来的,通过定义角色和权限的关系来控制用户对资源的访问。RBAC 的优点是管理方便,易于维护和扩展,适合大型系统和组织。 3. ABAC 是在 RBAC 的基础上发展起来的,通过定义属性和规则的关系来控制用户对资源的访问。ABAC 的优点是更加灵活和细粒度,可以根据具体的属性和规则来控制用户的访问。ABAC 适合对安全和隐私要求比较高的系统和场景。 总的来说,ACL 是最基础的权限控制方法,适合简单的系统和场景;RBAC 是一种成熟的权限控制方法,适合大型系统和组织;ABAC 是一种更加灵活和细粒度的权限控制方法,适合对安全和隐私要求比较高的系统和场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值