B端权限规则模型

以下为《B端权限规则模型》的无排版文字预览，完整内容请下载

B端权限规则模型：RBAC模型

一、RBAC模型是什么?

1. RBAC模型概述

RBAC模型（Role-Based Access Control：基于角色的访问控制）模型是20世纪90年代研究出来的一种新模型，但其实在20世纪70年代的多用户计算时期，这种思想就已经被提出来，直到20世纪90年代中后期，RBAC才在研究团体中得到一些重视，并先后提出了许多类型的RBAC模型。其中以美国George Mason大学信息安全技术实验室（LIST）提出的RBAC96模型最具有代表，并得到了普遍的公认。

RBAC认为权限授权的过程可以抽象地概括为：Who是否可以对What进行How的访问操作，并对这个逻辑表达式进行判断是否为True的求解过程，也即是将权限问题转换为What、How的问题，Who、What、How构成了访问权限XX组，具体的理论可以去调查RBAC96的研究文件，这里就不做详细的展开介绍，让大家有个了解和即可。

2. RBAC的组成

在RBAC模型里面，有3个基础组成部分，分别是：用户、角色和权限。

RBAC通过定义角色的权限，并对用户授予某个角色从而来控制用户的权限，实现了用户和权限的逻辑分离（区别于ACL模型），极大地方便了权限的管理。

下面在讲解之前，先介绍一些名词：

User（用户）：每个用户都有唯一的UID识别，并被授予不同的角色

Role（角色）：不同角色具有不同的权限

Permission（权限）：访问权限

用户-角色映射：用户和角色之间的映射关系

角色-权限映射：角色和权限之间的映射

它们之间的关系如下图所示：

例如下图，管理员和普通用户被授予不同的权限，普通用户只能去修改和查看个人信息，而不能创建创建用户和冻结用户，而管理员由于被授予所有权限，所以可以做所有操作。

3. RBAC支持的安全原则

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。

最小权限原则：RBAC可以将角色配置成其完成任务所需的最小权限集合。

责任分离原则：可以通过调用相互独立互斥的角色来共同完成敏感的任务，例如要求一个计账员和财务管理员共同参与统一过账操作。

数据抽象原则：可以通过权限的抽象来体现，例如财务操作用借款、存款等抽象权限，而不是使用典型的读、写、执行权限。

4. RBAC的优缺点

优点：简化了用户和权限的关系易扩展、易某某。

缺点：RBAC模型没有提供操作顺序的控制机制，这一缺陷使得RBAC模型很难适应哪些对操作次序有严格要求的系统。

5. RBAC的3种模型

1）RBAC0

RBAC0，是最简单、最原始的实现方式，也是其他RBAC模型的基础。

在该模型中，用户和角色之间可以是多对多的关系，即一个用户在不同场景下是可以有不同的角色，例如：项目经理也可能是组长也可能是架构师。同时每个角色都至少有一个权限。这种模型下，用户和权限被分离独立开来，使得权限的授权认证更加灵活。

A、权限是用户可以访问的资源，包括页面权限、操作权限、数据权限。

a、页面权限：即用户登录系统可以看到的页面,由菜单来控制,菜单包括一级菜单和二级菜单,只要用户有一级和二级菜单的权限,那么用户就可以访问页面。

b、操作权限：即页面的功能按钮，包括查看、新增、修改、删除、审核等，用户点击删除按钮时，后台会校验用户角色下的所有权限是否包含该删除权限，如果是，就可以进行下一步操作，反之内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 1：RBAC基础上增加了角色分层模型。

RBAC2：RBAC基础上增加了约束模型。

RBAC3：其实是RBAC2 + RBAC1。

2. 权限

1) 权限赋予

权限赋予是把当前用户的权限拉出来，然后分配的客服可以小于等于当前用户的权限。

2) 权限加载

正常的加载权限，当用户登录后，并且第一次使用权限判断的时候， Shiro（页面框架）会去加载权限。

3) 权限判断

走正常用户权限判断，但是数据操作需要判断是不是当前归属的用户的数据，其实这个是属于业务层，就算你不是客服，也是需要判断。

(4) 禁用|启用

禁用启用，也是正常的用户流程，添加到禁用列表里，如果被禁用，就无法操作任何内容。

[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]请点击下方选择您需要的文档下载。

以上为《B端权限规则模型》的无排版文字预览，完整内容请下载

B端权限规则模型由用户“biwoo”分享发布，转载请注明出处

XXXXX相关资讯

XXXXX猜你喜欢

回顶部 | 首页 | 电脑版 | 举报反馈更新时间2021-10-23 09:16:06