RBAC权限模型

1、RBAC权限模型RBAC权限模型、/、冃im权限可以理解为对资源的控制，对web来说就是对URL访问的控制现在使用的权限模型，基本都是以RBAC为基础进行扩展的RBA型RBAC全称Role-BasedAccessControl,基于角色的访问控制RBAC认为权限授权实际上是WhoWhatHow的问题，即“Who对What进行How的操作”。是"主体"对"客体"的操作，其中Who是权限的拥有者(User,Role)-主体,What是资源或对象(Resource,Class)RBAC是一种分析模型，主要分为4种设计思想：©基本模型RBAC0(Cor

2、eRBAC)°角色分层模型RBAC1(HierarchalRBAC)“角色限制模型RBAC2(ConstraintRBAC)统一模型RBAC3(CombinesRBAC)RBACRBAC0,它是RBAC0的核心，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。RBAC0定义了能构成RBAC控制系统的最小的元素集合，RBAC0由四部分构成：用户(User)角色(Role)会话(Session)许可(Permission)其中许可又包括“操作”和“控制对象”许可被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的许可。会话是动态的概念，用户必

3、须通过会话才可以设置角色，是用户与激活的角色之间的映射关系。用户和角色是多对多的关系，角色和许可也是多对多的关系用户和会话是一对一关系,会话和角色是一对多关系2.2 RBAC1RBAC1,它是RBAC角色的分层模型RBAC1建立在RBAC0基础之上，在角色中引入了继承的概念，有了继承那么角色就有了上下级或者等级关系2.3 RBAC2RBAC2，它是RBAC的约束模型RBAC2也是建立的RBAC0的基础之上的，在RBAC0基础上假如了约束的概念，主要引入了静态职责分离SSD(StaticSeparationofDuty)和动态职责分离DSD(DynamicSeparationofDuty)。静态

4、职责分离(SSD)SSD是用户和角色的指派阶段加入的，主要是对用户和角色有如下约束：1. 互斥角色：同一个用户在两个互斥角色中只能选择一个2. 基数约束：一个用户拥有的角色是有限的，一个角色拥有的许可也是有限的3. 先决条件约束：用户想要获得高级角色，首先必须拥有低级角色动态职责分离(DSD)DSD是会话和角色之间的约束，可以动态的约束用户拥有的角色，如一个用户可以拥有两个角色，但是运行时只能激活一个角色。2.4 RBAC3RBAC3，它是RBAC1与RBAC2合集，所以RBAC3是既有角色分层又有约束的一种模型3.概念3.1用户组用户组和用户是多对多关系，女口：部门和员工？为什么要有用户组?

5、如果有一类的用户都要属于某个角色，我们一个个给用户授予角色，会导致大量的操作和数据冗余我们可以对用户进行分类，也就是用户组。然后我们就可以直接对用户组赋予角色，减少重复的工作量。用户所拥有的的所有许可,是用户所属角色拥有的许可和用户所在用户组所属角色拥有的许可之和。用户组和用户是多对多关系：一个用户可以属于多个用户组，一个用户组也可以包括多个用户3.2 角色角色是一定数量的许可的集合，许可的载体一个角色可以包含多个用户，一个用户同样的也可以属于多个角色，角色与用户的关系为多对多的关系。同样的一个角色可以包含多个用户组，一个用户组也可以属于多个角色，所以角色和用户组也是多对多的关系；3.3 许可

6、许可也就是权限,它包括控制对象和操作，控制对象一般为资源，包括菜单、页面、文件等资源，而操作一般包括增删改查等图中“系统操作”就是操作，“菜单信息”就是控制对象；菜单信息中的每个菜单都会有增删改查等操作，所以菜单信息与系统操作是一对多的关系；我们给角色授予权限时，授予的是颗粒最小的权限，所以我们将系统操作权限授予某些角色。一个角色可以拥有多个系统操作，一个系统操作同样也可以属于多个角色，所以系统操作和角色为多对多的关系。町匸!匸1工匸制fPIDSOD縣怕曲ID用戶名叽REFERIlfelDFiW说处讪U松It址噬话品三M咄.、细曲血1的rc4uf0,l叼血0W|dhalSIMI冈户闸户川忙刖:

7、.p+J月户DINikb目PlfilD叔cfc“=h«|5DQ：奎rCFCNCE_rt#rt.i*孟生FKJRjr_ftEFEFENEE-eW-FK_dlrJir:RCNCE_|iJ=irZREMCE常di&42C|阳EZjOjV-NCrZIl也idiMfUIM1媚怒:隔駆孑&嵐饨FHID旳SJ块更Z谢J*事廣:&克丫*1问瞰晦。55cfET莹鲁ID.涼(fcn专克膿刷iD沖SHOrt<Efcs需诵Qnl<lk>耶门若徧咖第和打Ift明刎3丫圧曲面Oj时曲凑任世明泊dhaO期£rlJtiWPPwJpi7vaeiwO.ijFEREhCEa霜護盘券：:却如行犁曲觀明vacMMI均F鉅用户倒心訓cpt>蛊器翥:欢圖saSiEioH<pt7Y曲却；住岳说哄Mortal3W-邑M