RBAC 模型作为目前最为广泛受的权限模型
角色访问控制(RBAC)引入了Role的概念,目的是为了隔离User(即动作主体,Subject)与Privilege(权限,表示对Resource的一个操作,即Operation+Resource)。 Role作为一个用户(User)与权限(Privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予Role而不是直接给User或 Group。Privilege是权限颗粒,由Operation和Resource组成,表示对Resource的一个Operation。例如,对于新闻的删除操作。Role-Privilege是many-to-many的关系,这就是权限的核心。
基于角色的访问控制方法(RBAC)的显著的两大特征是:
1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。
2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
RBAC的基本概念:
RBAC认为权限授权实际上是Who、What、How的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作”。
Who:权限的拥用者或主体(如Principal、User、Group、Role、Actor等等)
What:权限针对的对象或资源(Resource、Class)。
How:具体的权限(Privilege,正向授权与负向授权)。
Operator:操作。表明对What的How操作。也就是Privilege+Resource
Role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离User与Privilege的逻辑关系.
Group:用户组,权限分配的单位与载体。权限不考虑分配给特定的用户而给组。组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限。User与Group是多对多的关系。Group可以层次化,以满足不同层级权限控制的要求。
RBAC的关注点在于Role和User, Permission的关系。称为User assignment(UA)和Permission assignment(PA).关系的左右两边都是Many-to-Many关系。就是user可以有多个role,role可以包括多个user。
一、RBAC96模型
RBAC96模型家族,其中包括了RBAC0~RBAC3四个概念模型。他们之间的关系如下图:
RBAC0定义了能构成一个RBAC控制系统的最小的元素集合
在 RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、 RBAC2、RBAC3都是先后在RBAC0上的扩展。RBAC0模型如下图所示:
RBAC1 引入角色间的继承关系
角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构
RBAC2 模型中添加了责任分离关系
RBAC2 的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可
RBAC3 包含了RBAC1和RBAC2
既提供了角色间的继承关系,又提供了责任分离关系.RBAC3模型如下图:
二、ARBAC97模型
ARBAC97模型是基于角色的角色管理模型,包括三个部分:
URA97:用户-角色管理模型,该组件涉及用户指派关系UA的管理,该关系把用户与角色管理在一起.对该关系的修改权由管理角色,这样,管理角色中的成员有权管理正规角色中的成员关系.
PRA97:权限-角色管理模型.该组件设计角色许可证的指派与撤销.从角色的观点来看,用户和许可权有类似的特点,他们都是由角色联系在一起的实在实体.
RRA97:角色-层次管理模型,为了便于对角色的管理,对角色又进行了分类.该组件设计3类角色,它们是:
1、能力(Abilitier)角色--仅以许可权和其他能力作为成员的角色
2、组(Groups)角色--仅以用户和其他组为成员的一类角色
3、UP-角色--表示用户与许可权的角色,这类角色对其成员没有限制,成员可以是用户、角色、许可权、能力、组或其他UP-角色
下面是我之前基于RBAC3设计的一个图:
相关推荐
通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录 基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的RBAC权限管理系统 提供对常见容器化支持 ...
这是一个RBAC权限管理系统,即基于角色的用户权限控制,,使用springboot框架开发,UI使用的是layui。。 演示地址:http://116.196.66.248:8090/page/index 欢迎大家下载。。。。另外,建议使用IDEA导入项目。。
java基于RBAC的权限设计模型,很实用的,是我在做人力资源管理项目中用到的RBAC权限设计,希望大家能用得到
RBAC 通用权限设计RBAC 通用权限设计RBAC 通用权限设计RBAC 通用权限设计RBAC 通用权限设计
基于RBAC权限管理数据库表设计
RBAC权限体系设计UML 下面是转载关于描述RBAC体系的文章。 关于RBAC权限的说明。 权限往往是一个极其复杂的问题,但也可简单表述为这样的逻辑表达式: 判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真...
RBAC_权限设计资料 RBAC 介绍 RBAC 模型作为目前最为广泛接受的权限模型。 NIST (The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型...
经典的基于RBAC的权限设计,思路清晰,一看就懂。
RBAC用户角色权限,RBAC用户角色权限设计方案
简单的RBAC权限管理,包含了监听器、过滤器和拦截器,带有sql文件。
基于RBAC的权限管理的设计与实现,韩志强,,对于B/S的企业应用系统,权限管理不仅是开放重复率很高的模块,而且还是系统难点。建立规范的访问控制模型是企业应用中实现权限控
thinkphp rbac权限控制数据库
RBAC 权限控制 设计文档 演示文稿 基于RBAC的权限控制系统设计演示文稿 以学校教学系统为实例
基于RBAC模型的通用权限管理系统的设计
基于RBAC的权限设计模型:RBAC 模型作为目前最为广泛接受的权限模型。
rbac ⽤户⾓⾊权限资源表如 何设计呢?下⾯开始表的设计。RBAC表结构。 1.1 ⽤户表 CREATE TABLE `sys_user` ( `id` varchar(36) NOT NULL COMMENT '主键', `usercode` varchar(32) NOT NULL COMMENT '账号', `...
本源码提供了一个基于Spring Boot 3.2的微服务RBAC权限管理系统设计。项目包含591个文件,其中包括363个Java源文件、71个JavaScript文件、42个XML文件、13个YAML文件、11个TTF字体文件、11个WOFF字体文件、10个CSS...
权限管理,权限设计的好资料 RBAC权限设计详细介绍
3/4全的rbac的权限管理 有数据库,有权限管理的代码,就差应用到项目中。差一个Action,和自己的Action.兄弟连视屏 最后有这段代码..