RBAC模型是什么?
RBAC模型是什么?
石油大王RBAC 模型是什么?
美国国家标准与技术研究院(The National Institute of Standards and Technology)认为 RBAC 模型由 4 个基础模型组成:
大唐官府加点
1.基本模型 RBAC0(Core RBAC)
2.⾓⾊分层模型 RBAC1(Hierarchal RBAC)
3.⾓⾊限制模型 RBAC2(Constraint RBAC)
4.统⼀模型 RBAC3(Combines RBAC)
RBAC 授权的过程可以抽象概括为:判断 Who 是否可以对 What 进⾏ How 的访问操作,以及这个逻辑表达式的值是否为 True 的计算过程。
Who、What、How 构成了访问权限三元组,Who 是权限的拥有者或主体(User、Role),What 是资源(Resource),How 是具体的权限。
RBAC 模型有什么特点?
RBAC 授权模型,最根本的初衷是简化权限管理,后来被越来越多的企业应⽤到了员⼯授权资源管理系统中。
随着⽤户的规模和复杂性增加,⾓⾊会变得⾮常有⽤。⽐如,将特定⾓⾊添加到特定组织成员中,并允许组织成员访问特定的程序。这在⽀持多租户和 SaaS 产品时特别有⽤,其中特定⽤户可能在⼀个组织中拥有特权⾓⾊,但在其他组织中没有。
RBAC 模型的优势:
减少授权管理的复杂性,降低管理成本;
创建系统的、可重复的权限分配;
轻松审核⽤户权限并纠正已发现的问题;
快速更改⾓⾊,以及跨 API 实施⾓⾊;
减少分配⽤户权限时出错的可能性;
灵活地⽀持企业的安全策略,并且有很⼤的伸缩性;
RBAC 适⽤于多对多的映射关系。
RBAC 模型的缺点:
RBAC模型没有提供操作顺序控制机制。这⼀缺陷使得 RBAC 模型很难应⽤于那些要求有严格操作次序的实体系统。
例如,公司采购流程就没有办法⽤ RBAC 模型授权控制采购过程中每⼀个流程中应该怎么样授权。
基本模型 RBAC0
RBAC0 是最基础也是最核⼼的模型,由五部分组成:⽤户(User)、⾓⾊(Role)、许可(Permission)、会话(Session)、操作(operations OPS)。
⾓⾊通过许可被授权资源,⾓⾊⼜授权到⽤户⾝上,通过会话管理⽤户和⾓⾊的授权关系,⽤户就继承了⾓⾊的访问资源权限。
例如:张三是⼀家企业的财务总监,同时他也是该企业对外的形象⼤使,财务总监有访问公司财务数据的权限,形象⼤使有访问公司市场部推
⼴计划和编辑发⾔稿的权限。那么张三既有访问公司财务数据的权限,⼜有访问公司市场部推⼴计划和编辑发⾔稿的权限。突然有⼀天公司决
普通人千万不要买基金定做职位调整,张三被任命为财务总监和⼈⼒资源总监,撤掉了形象⼤使。那么张三当前就只能访问财务总监和⼈⼒资源总监所对应的授权资
源。
⾓⾊分层模型 RBAC1
蚂蚁花呗怎么还款该模型主要是在 RBAC0 的基础上,增加了⾓⾊层级关系的继承逻辑,也就是说⾓⾊有了组织树的逻辑。
⾓⾊有了上下级关系,上⼀级的⾓⾊可以继承其下所有⾓⾊的授权资源。
例如:张三是⼀家企业的财务总监,同时他也是该企业对外的形象⼤使,财务总监有访问公司财务数据的权限,形象⼤使有访问公司市场部推⼴计划和编辑发⾔稿的权限。那么他的上级领导,⽐如是该公司的 CFO,既有访问公司财务数据的权限,⼜有访问公司市场部推⼴计划和编辑发⾔稿的权限。这是继承关系。
⾓⾊限制模型 RBAC2
2012古装电视剧
该模型主要添加了授权约束。约束规定了权限被赋予⾓⾊时,或⾓⾊被赋予⽤户时,以及当⽤户在某⼀时刻激活⼀个⾓⾊时所应遵循的强制性规则。
责任分离包括:静态责任分离(SSD)和动态责任分离(DSD)。
SSD 是⽤户和⾓⾊的指派阶段加⼊的,主要是对⽤户和⾓⾊有如下约束:
互斥⾓⾊:同⼀个⽤户在两个互斥⾓⾊中只能选择⼀个。⽐如财务部有会计和审核员两个⾓⾊,他们是互斥⾓⾊,那么⽤户不能同时拥有这两个⾓⾊,体现了职责分离原则。
基数约束:⼀个⾓⾊被分配的⽤户数量受限,⼀个⽤户可拥有的⾓⾊数⽬受限,同样⼀个⾓⾊对应的访问资源权限数⽬也受限,以控制⾼级权限在系统中的分配。⽐如李四是 COO,王五不能也是 COO。同样的李四不能既是 COO ⼜是 CTO ⼜是 CFO。COO 、CTO、 CFO 三个⾓⾊所能访问的资
源权限也不能是⼀模⼀样的。
先决条件约束:⽤户想要获得⾼级⾓⾊,⾸先必须拥有低级⾓⾊。
DSD 是会话和⾓⾊之间的约束,可以动态的约束⽤户拥有的⾓⾊。
元旦法定假日是几天?如⼀个⽤户可以拥有两个⾓⾊,但是运⾏时只能激活⼀个⾓⾊。如⼀个⼈如果既是运动员⼜是教练,当⽐赛开始的时候,只能选择⼀个⾓⾊⾝份⼊场。
统⼀模型 RBAC3
RBAC3 是 RBAC1 与 RBAC2 的合集,所以 RBAC3 是既有⾓⾊分层⼜有约束的⼀种综合授权模型。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。