基于角色的权限控制模型RBAC图文教程

2024-09-28 19:48:30

我们开发一个系统，必然面临权限控制的问题，即不同的用户具有不同的访问、操作、数据权限。形成理论的权限控制模型有：自主访问控制（DAC: Discretionary Access Control）、强制访问控制（MAC: Mandatory Access Control）、基于属性的权限验证（ABAC: Attribute-Based Access Control）等。最常被开发者使用也是相对易用、通用的就是RBAC权限模型（Role-Based Access Control），本文就将向大家介绍该权限模型。

一、RBAC权限模型简介

RBAC权限模型（Role-Based Access Control）即：基于角色的权限控制。模型中有几个关键的术语：

用户：系统接口及访问的操作者
权限：能够访问某接口或者做某操作的授权资格
角色：具有一类相同操作权限的用户的总称

RBAC权限模型核心授权逻辑如下：

某用户是什么角色？
某角色具有什么权限？
通过角色的权限推导用户的权限

二、RBAC的演化进程

2.1.用户与权限直接关联

想到权限控制，人们最先想到的一定是用户与权限直接关联的模式，简单地说就是：某个用户具有某些权限。如图：

张三具有创建用户和删除用户的权限，所以他可能系统维护人员
李四具有产品记录管理和销售记录管理权限，所以他可能是一个业务销售人员

这种模型能够清晰的表达用户与权限之间的关系，足够简单。但同时也存在问题：

现在用户是张三、李四，以后随着人员增加，每一个用户都需要重新授权

或者张三、李四离职，需要针对每一个用户进行多种权限的回收

2.2.一个用户拥有一个角色

在实际的团体业务中，都可以将用户分类。比如对于薪水管理系统，通常按照级别分类：经理、高级工程师、中级工程师、初级工程师。也就是按照一定的角色分类，通常具有同一角色的用户具有相同的权限。这样改变之后，就可以将针对用户赋权转换为针对角色赋权。

一个用户有一个角色
一个角色有多个操作（菜单）权限
一个操作权限可以属于多个角色

我们可以用下图中的数据库设计模型，描述这样的关系。

2.3 一个用户一个或多个角色

但是在实际的应用系统中，一个用户一个角色远远满足不了需求。如果我们希望一个用户既担任销售角色、又暂时担任副总角色。该怎么做呢？为了增加系统设计的适用性，我们通常设计：

一个用户有一个或多个角色
一个角色包含多个用户
一个角色有多种权限
一个权限属于多个角色

我们可以用下图中的数据库设计模型，描述这样的关系。

三、页面访问权限与操作权限

页面访问权限: 所有系统都是由一个个的页面组成，页面再组成模块，用户是否能看到这个页面的菜单、是否能进入这个页面就称为页面访问权限。

操作权限：用户在操作系统中的任何动作、交互都需要有操作权限，如增删改查等。比如：某个按钮，某个超链接用户是否可以点击，是否应该看见的权限。

为了适应这种需求，我们可以把页面资源(菜单)和操作资源(按钮)分表存放，如上图。也可以把二者放到一个表里面存放，用一个字段进行标志区分。

四、数据权限

数据权限比较好理解，就是某个用户能够访问和操作哪些数据。

通常来说，数据权限由用户所属的组织来确定。比如：生产一部只能看自己部门的生产数据，生产二部只能看自己部门的生产数据；销售部门只能看销售数据，不能看财务部门的数据。而公司的总经理可以看所有的数据。

在实际的业务系统中，数据权限往往更加复杂。非常有可能销售部门可以看生产部门的数据，以确定销售策略、安排计划等。

所以为了面对复杂的需求，数据权限的控制通常是由程序员书写个性化的SQL来限制数据范围的，而不是交给权限模型或者Spring Security或shiro来控制。当然也可以从权限模型或者权限框架的角度去解决这个问题，但适用性有限。

以上就是基于角色的权限控制模型RBAC图文教程的详细内容，更多关于角色的权限控制模型RBAC的资料请关注我们其它相关文章！

ThinkPHP的RBAC(基于角色权限控制)深入解析

一.什么是RBAC基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注.在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限.这就极大地简化了权限的管理.在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色.角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收.角色与角色的关系可以
基于Django框架的权限组件rbac实例讲解

1.基于rbac的权限管理 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,一个角色拥有若干权限.这样,就构造成"用户-角色-权限"的授权模型.在这种模型中,用户与角色之间,角色与权限之间都是多对多的关系. 简单的模型图示如下: 2.Rbac组件的基本目录结构: 3.按照写的流程,来讲解rbac组件中的各个部分,以及功能, 3.1 models数据库表设计(models.py). 为了在
RBAC简介_动力节点Java学院整理

什么是权限管理基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源. 权限管理包括用户身份认证和授权两部分,简称认证授权.对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问. 用户身份认证身份认证,就是判断一个用户是否为合法用户的处理过程.最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名
RBAC权限模型_动力节点Java学院整理

权限系统与RBAC模型概述 RBAC(Role-Based Access Control )基于角色的访问控制. 在20世纪90年代期间,大量的专家学者和专门研究单位对RBAC的概念进行了深入研究,先后提出了许多类型的RBAC模型,其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有系统性,得到普遍的公认. RBAC认为权限的过程可以抽象概括为:判断[Who是否可以对What进行How的访问操作(Operator)]这个逻辑表达式的值是否为True的求
基于角色的权限控制模型RBAC图文教程

目录一.RBAC权限模型简介二.RBAC的演化进程 2.1.用户与权限直接关联 2.2.一个用户拥有一个角色 2.3一个用户一个或多个角色三.页面访问权限与操作权限四.数据权限我们开发一个系统,必然面临权限控制的问题,即不同的用户具有不同的访问.操作.数据权限.形成理论的权限控制模型有:自主访问控制(DAC: Discretionary Access Control).强制访问控制(MAC: Mandatory Access Control).基于属性的权限验证(ABAC: Attri
ASP.NET MVC 中实现基于角色的权限控制的处理方法

[Authorize]public ActionResult Index() 标记的方式,可以实现所标记的ACTION必须是认证用户才能访问: 通过使用 [Authorize(Users="username")] 的方式,可以实现所标记的ACTION必须是某个具体的用户才能访问,以上两种方式使用起来非常方便,在NeedDinner示例程序中已有具休的实现过程, 但是,我们在实际的应用中所使用的大都是基于角色(Roles)的认证方式,NeedDinner中却未给出,本文给出具体实现(基于
go语言使用Casbin实现角色的权限控制

本文主要介绍了go语言使用Casbin实现角色的权限控制,分享给大家,具体如下: 介绍 Casbin 是什么? 官方解释:Casbin是一个强大的.高效的开源访问控制框架,其权限管理机制支持多种访问控制模型. Casbin只负责访问控制.身份认证 authentication(即验证用户的用户名.密码),需要其他专门的身份认证组件负责.例如(jwt-go) 两个核心概念: 访问控制模型model和策略policy. 工作原理: Casbin把访问控制模型被抽象为基于 PERM元模型 (Pol
基于移动端真机调试的图文教程(分享)

最近要分析web页面,在安卓和ios上的性能差异,除了操作系统本身不同之外,应该还多地方要探究的,第一步就是要在真机上分析.所以总结一下几个方法. 1.Mac+iPhone+ Lightning+Safari 浏览器步骤: 1)用:Lighting线将mac与iphone相连 2)iphone打开Web检查器(设置->Safari->高级->Web检查器) 3)iphone用safari打开要进行分析的页面 4)mac打开safari浏览器(菜单->开发->对应的手机名称-
基于openstack安装部署私有云详细图文教程

本文主要分享的是云计算.openstack的使用.私有云平台建设.云服务器云硬盘的构建和使用.从基本概念入手到私有云建设,信息量非常大.对于openstack的安装部署都是从官方文档中一步步的介绍,内容非常详细. 一.云计算基本概念云计算(cloud computing)是基于互联网的相关服务的增加.使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源.云是网络.互联网的一种比喻说法.过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象.因此,云计算甚至
asp.net Forms身份验证和基于角色的权限访问

主要思想:Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面. 具体步骤: 1.创建一个网站,结构如下: 网站根目录 Admin目录 ----> 管理员目录 Manager.aspx ----> 管理员可以访问的页面 Users目录 ----> 注册用户目录
基于Windows安装MySQL 8.0.12图文教程

本教程仅适用Windows系统,如果你原本装了没装上,一定要先删除原本的数据库,执行:mysqld --remove mysql,然后在看我的帖子! 第一步:到MySQL官网下载安装包第二步:将下载好的安装包(mysql-8.0.12-winx64 .zip)解压到相应路径下,建议安装在空间比较大的盘内.(我的安装路径是:D:\mysql-8.0.12-winx64)这边的安装目录一定要记清楚 !! 第三步:在安装目录下新建一个配置文件,命名为my.ini(这边要注意,我当时在安装的时候,遇到
vue自定义指令和动态路由实现权限控制

功能概述: 根据后端返回接口,实现路由动态显示实现按钮(HTML元素)级别权限控制涉及知识点: 路由守卫 Vuex使用 Vue自定义指令导航守卫前端工程采用Github开源项目Vue-element-admin作为模板,该项目地址:Github | Vue-element-admin. 在Vue-element-admin模板项目的src/permission.js文件中,给出了路由守卫.加载动态路由的实现方案,在实现了基于不同角色加载动态路由的功能.我们只需要稍作改动,就能将基于角色加
Java如何利用Mybatis进行数据权限控制详解

前言权限控制主要分为两块,认证(Authentication)与授权(Authorization).认证之后确认了身份正确,业务系统就会进行授权,现在业界比较流行的模型就是RBAC(Role-Based Access Control).RBAC包含为下面四个要素:用户.角色.权限.资源.用户是源头,资源是目标,用户绑定至角色,资源与权限关联,最终将角色与权限关联,就形成了比较完整灵活的权限控制模型. 资源是最终需要控制的标的物,但是我们在一个业务系统中要将哪些元素作为待控制的资源呢?我将系统中
Vue Element前端应用开发之功能点管理及权限控制

目录概述 1.权限功能点管理 2.VUE+Element 前端权限控制概述本篇随笔介绍功能点管理及权限控制,功能点是作为一个业务对象数据进行管理,在角色范畴上进行分配,而在界面元素控制上,VUE+Element 前端引入Vue自定义指令Directives进行控制. 1.权限功能点管理我们在前面分析过一个权限系统的表和关系的说明,如下所示. 权限功能点的管理就是对TB_Function的表的管理操作,这个表是我们定义用于系统控制的功能点. 权限功能点的管理为了展示它的树状结果,包括树列表