RBAC(Role-Base-Access-Controll) RBAC0(Core RBAC) RBAC1:对角色进行扩展,有级别和继承的概念 RBAC2:在用户和角色之间做约束,具有互斥关系的角色不能授予同一用户 RBAC3=RBAC1+RBAC2 描述的是谁可以对什么样的资源做什么样的操作 权限管理 1、 用户(User)可以拥有多个角色(Role),角色可以被分配给多个用户 2、 权限的意思就是对某个资源的操作,现在规定: a) 资源,即系统的模块 b) 操作,包括:增加、删除、修改、查询等操作 3、 权限管理的总体功能分为:授权与认证 4、 授权,指将权限授予角色或用户 a) 如果用户A拥有角色B、角色C,那么缺省的情况下,用户A将拥有被分配给角色B和角色C的所有权限(即默认情况下,用户A继承其拥有的角色所具有的所有权限) b) 如果用户拥有多个角色,那么用户的权限是这些角色权限的集合 c) 如果用户拥有多个角色,而且角色之间的授权有冲突(比如对同一个资源的同一 个操作,一个角色为“允许”,另一个角色为“不允许”),将以优先级别高的角色 为准(所谓优先级别,也就是对于这个用户所拥有的角色而言,是有顺序的,同一 个角色在不同的用户那里可能拥有不同的优先级) d) 除了可以对角色进行授权外,也可以针对用户进行授权,也就是说,将权限授予用 户。针对某个资源的所有操作,可以设置这些权限对用户来说是“继承”或“不继 承”。 i. 继承:意思是这些权限将使用其(即用户)所拥有的的角色权限,而不使用 其(即用户)单独设置的权限。 ii. 不继承:意思是这些权限将使用其单独设置的权限,而不使用其所拥有的角色 权限。 5、认证:指用户访问资源的某些操作时,根据授权,判断是否允许用户的访问。 a) 在用户访问的时候,需要进行即时的判断(是否有权访问) b) 应该提供查询的功能,可以查询某个用户所拥有的所有权限 总体上,可分为模块管理、角色管理和用户管理模块。