角色访问控制(RBAC)引入了Role的概念,目的是为了隔离User(即动作主体,Subject)与Privilege(权限,表示对Resource的一个操作,即Operation+Resource)。 Role作为一个用户(User)与权限(Privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予Role而不是直接给User或Group。Privilege是权限颗粒,由Operation和Resource组成,表示对Resource的一个Operation。例如,对于新闻的删除操作。Role-Privilege是many-to-many的关系,这就是权限的核心。基于角色的访问控制方法(RBAC)的显著的两大特征是:1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
在一个土建工程管理的项目中,琢磨了一把权限模型。大致的需求就是把用户分为“现场用户”,“总部用户”。总部的用户可以新立项目,查看既有项目的进度与预算的开支;现场的用户负责施工并录入项目进度,填写进度,账务记录。
在软件系统中,显然不存在总部,现场用户之分。只是同一张用户表带有不同权限的记录而已。下面的数据库模型,有User用户,Role角色,Resource资源三个对象。他们之间关系为多对多,因此另外产生两张连接表。
Role就是赋予了一组资源的对象,用户通过关联role来获取可以访问的资源,可以将用户与具体的权限分开解耦,而User和Role之间多对多的关系,可以灵活的给一个用户多个role(比如总部经理,还可以兼任现场指挥),而一个role的资源也很方便的付给多个用户。一般系统的权限模型大致如此。
本以为设计到这里权限模型就足够了,可是设计下面的Project(项目表)的时候发现了问题。这个项目可能同时数个项目并行,而一个人会不会在不同项目中兼任不同Role呢?比如说张三是项目1中的经理Role,而在项目2中可能只是组长。因此这个特殊的项目权限模型必须加入对Project的关联。
因此,需要在USER_TO_ROLE中间表中,再加入一个Project_ID外键关联到项目表,把用户的角色在这个地方和项目关联起来。同样用户和角色之间有其他制约的关系,只需要在USER_TO_ROLE表中加外键即可,无需影响上面的权限模式
分享到:
相关推荐
全程手把手带你运用Java技术栈,打造一套基于最流行的RBAC拓展模型的,分布式的,有界面的,高灵活性,高拓展性的企业级权限管理系统。源代码
全程手把手带你运用Java技术栈,打造一套基于最流行的RBAC拓展模型的,分布式的,有界面的,高灵活性,高拓展性的企业级权限管理系统。学完本课程你将可以轻松应对绝大多数企业开发中与权限管理及后台系统相关的需求...
全程手把手带你运用Java技术栈,打造一套基于最流行的RBAC拓展模型的,分布式的,有界面的,高灵活性,高拓展性的企业级权限管理系统。学完本课程你将可以轻松应对绝大多数企业开发中与权限管理及后台系统相关的需求...
全程手把手带你运用Java技术栈,打造一套基于最流行的RBAC拓展模型的,分布式的,有界面的,高灵活性,高拓展性的企业级权限管理系统。源代码
通用的权限管理系统需要考虑用户权限控制问题,可以采用RBAC(基于角色的访问控制)模型进行设计和实现。 基于角色的访问控制系统可以通过确定用户所扮演的角色和其权限来实现对不同操作和资源的限制和控制。包括...
在MyEclipse 10开发环境下,运用RBAC模型设计并实现一款基于java Web的通用用户权限管理框架,主要实现用户管理功能,角色管理功能和资源管理功能。该系统采用java EE自身的服务,提高系统的可重用性,在用户和资源间引入...
1、通过spring security实现的RBAC权限的模型基础上实现权限、角色、资源的管理,实现根据数据库动态分配权限的功能,对未登录及未授权的操作进行拦截。在用户管理中心,管理员可添加用户代替了自行注册方式。 <br...
本系统志在完成一个比较完善的权限管理,借鉴于著名的RBAC,即基于角色的访问控制(Role-Based Access Control),并结合我们的需求,屏弃了RBAC中的Group实体对象,对其进行一定的简化和改善后,并结合DWR技术,...