RBAC模型

字数 957阅读 262

注:原文于2017.5.24发于公众号

没有为什么,就是看到了这个知识点,所以记下来,学习。

RBAC is short for Role-based Access Control. 翻译过来就是“基于角色的访问控制”。该模型最常应用于系统权限设计中。权限系统的目的有三个:创造权限、分配权限、使用权限。该模型提供的解决方案是:许可角色的操作内容和范围,然后将角色赋予主体。

从简到繁,RBAC提供了四种模型:

  • 基本模型RBAC0(Core RBAC)
  • 角色分层模型RBAC1(Hierarchal RBAC)
  • 角色限制模型RBAC2(Constraint RBAC)
  • 统一模型RBAC3(Combines RBAC)

下面用图解和案例说明这四种模型的延展关系。

一、基本模型RBAC0(Core RBAC)


其中有四个对象:

  • 用户(User)
  • 角色(Role)
  • 会话(Session)
  • 许可(Permission)

创建许可,定义被控制的对象和可对其执行的操作,这一步可以认为是原子化的设置。然后将许可赋予角色。当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的许可。而指定的这个过程,是通过会话实现的。用户必须通过会话才可以设置角色,是用户与激活的角色之间的映射关系。
此处都是多对多的关系。

举例:在校园里

  • 用户:学生A,学生B,教师C,教师D……
  • 角色:图书管理员、班长、学习委员、教导主任……
  • 许可:图书登记、考试督导、带领晨读、接待外宾……
    • “带领晨读”这个许可,既可以授予班长,也可以授予学习委员
    • “接待外宾”的许可,只可以授予教导主任
      “学生A”既可以是图书管理员,也可以同时担任班长
      “教师C”既可以是图书管理员,也可以同时任职教导主任

二、角色分层模型RBAC1(Hierarchal RBAC)


这张图新增了角色的分层,即角色中产生了父子关系,在现实中代表的含义如:
没当上学习委员前你不能当班长;学习委员能做的事,班长全部都能做,但班长的事,学习委员只能做部分。

三、角色限制模型RBAC2(Constraint RBAC)


这个模型升级的地方在于引入了静态职责分离SSD(Static Separation of Duty)和动态职责分离DSD(Dynamic Separation of Duty)。

SSD是用户和角色的指派阶段加入的,主要是对用户和角色有如下约束:
互斥角色:同一个用户在两个互斥角色中只能选择一个(学习委员和班长不能由同一位学生担任)

基数约束:一个用户拥有的角色是有限的,一个角色拥有的许可也是有限的(一名教师最多只能担任两个职务,做了教导主任和图书管理员就不能当教研组长)

先决条件约束:用户想要获得高级角色,首先必须拥有低级角色

DSD是会话和角色之间的约束,可以动态的约束用户拥有的角色,如一个用户可以拥有两个角色,但是运行时只能激活一个角色。

四、统一模型RBAC3(Combines RBAC)


最后这个模型就是对上述两种模型的整合。

图片与部分内容来源:
http://blog.csdn.net/zwk626542417/article/details/46726491

微信扫一扫关注该公众号

推荐阅读更多精彩内容