RBAC: 基于角色的访问控制(Role-Based Access Control)

Posted sprinkle

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了RBAC: 基于角色的访问控制(Role-Based Access Control)相关的知识,希望对你有一定的参考价值。

本文只讨论两种基于角色的访问控制的不同点,不涉及权限设计的数据库设计。

 

基于角色的访问控制(Role-Based Access Control)可分为隐式角色访问控制和显式角色访问控制。

隐式角色访问控制:没有明确定义一个角色到底包含了哪些可执行的行为。

显式角色访问控制:也称为“基于资源的访问控制”,因为这种权限设计的粒度细化到了资源层面,资源有很多种,比如数据库表的增删查改、url、菜单、按钮等等。

来看一个隐式角色访问控制的例子:

if (user.hasRole("Project Manager")) {
    //页面显示某个按钮
} else {
    //页面不显示某个按钮
}

如果需求改变了,另外一个角色要显示该按钮,那么就必须改变上面的代码为:

if (user.hasRole("Project Manager") || user.hasRole("Department Manager") ) {
    //页面显示某个按钮
} else {
    //页面不显示某个按钮
}

那以后如果还有其他角色呢,可以想象,这种权限设计方式有多糟糕。

再来看一个显示角色访问控制(基于资源的访问控制)的例子:

if (user.isPermitted("projectReport:view:12345")) {
    //页面显示某个按钮
} else {
    //页面不显示某个按钮
}

如果现在的需求改了,那么只要在该角色对应的权限集合里面再加上"projectReport:view:12345"这一资源访问权限即可,比隐式角色访问权限需要去修改源代码要方便得多。

参考文章:http://www.thinksaas.cn/topics/0/150/150841.html

以上是关于RBAC: 基于角色的访问控制(Role-Based Access Control)的主要内容,如果未能解决你的问题,请参考以下文章

RBAC 基于角色的访问控制

RBAC:基于角色的权限访问控制

基于角色的访问控制 (RBAC)权限管理

一个实例:基于RBAC理论的访问控制实践

基于角色的访问控制 (RBAC) 与上下文?

RBAC 基于角色的访问控制演示