基于AOP实现权限管理:访问控制模型RBAC和ACL

最新推荐文章于 2024-03-19 22:41:34 发布
最新推荐文章于 2024-03-19 22:41:34 发布
阅读量1w 收藏 12
点赞数 5
分类专栏: Java开发 架构设计 文章标签: 权限 RBAC ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tch918/article/details/18449043
版权

权限、日志是系统必不可少的的功能,将这些通用的东西抽出来,以AOP方式切入系统中,可以得到非常高的复用率。

OA中,接触了ACLaccess control list)模型的权限设计。在高校平台中,采用RBAC(Role Based Access Control)模型的权限设计。

 

下面是ACL实体模型


ACL的原理非常简单:每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行CRUD中的那些操作。当系统试图访问这项资源时,会首先检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。

总得来说,ACL是一种面向资源的访问控制模型,它的机制是围绕“资源”展开的。

ACL核心在于用户可以直接和权限挂钩,简单的同时它的缺点也是很明显的,由于需要维护大量的访问权限列表,所以在性能上有明显的不足,因而便有了对ACL设计的改进,ACL不仅记录用户—资源—操作表,还记录角色—资源—操作表。


通过ACL(访问控制列表)把RoleUserModulePermissionstatus(允许/禁止)关联起来。用于记录用户或者角色对资源拥有的权限。

 

下面是RBAC物理模型


 

这样设计的核心是把用户按角色进行归类,通过用户的角色来确定用户能否针对某项资源进行某项操作。

相对于ACL最大的优势就是它简化了用户与权限的管理,通过对用户进行分类,使得角色与权限关联起来,而用户与权限变成了间接关联,从而解耦。

 

但是它也有自身的缺点,那就是由于权限是以角色为载体分配的,如果某一角色下的个别用户需要进行特别的权限定制,如同加入一些其他角色的小部分权限或去除当前角色的一些权限时,RBAC就无能为力了,只能再重新创建角色,因为RBAC对权限的分配是角色为单位的。

 

为了弥补这种设计不足,通过增加security_user_permission来满到个性化需求。


 

 

两种改进模型的比较

ACL由于用户和权限直接挂钩,可以满足个性化,即为系统中的用户单独分配权限;RBAC由于角色和权限直接挂钩,使得权限可以被复用,把用户按角色进行归类。

两种改进模型,都是为了弥补自身不足而演变而来的,即ACL需要解决复用性问题,RBAC需要解决个性化问题。其实,两种改进模型都驶向了一个平衡点,虽然RBAC改进模型中的表个数多,但是原理还是一样的,只是为了降低数据的冗余度。

 

扩展模型

这两个只是基本的ACLRBAC模型,在它们基础上可以进行扩展,比如可以在RBAC模型基础上增加用户组。用户组在模型中相当于security_organization组织机构。


 

RBAC模型的更多扩展模型,可以参考权限管理之基于RBAC的扩展设计方案

 

除两上述两种主要的模型之外,还有包括:基于属性的访问控制ABAC和基于策略的访问控制PBAC等等,因为应用不是很广泛,就不做介绍了。

时光在路上
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
aop实现权限及流程讲解(优化)
weixin_47729434的博客
03-30 2431
深入理解aop权限
基于Spring AOP实现权限控制
wu1045287152的博客
05-25 400
以上代码会拦截所有带有@RequiresRoles注解的方法,并执行checkPermissions()方法。当当前用户账户在白名单中时,batchConfirmByIds()方法会正常执行,否则会抛出自定义异常。基于Spring AOP实现一个简单的接口权限。3.在目标方法中添加权限控制注解。2.实现AOP拦截器。
权限设计种类【RBAC、ABAC】
最新发布
m0_60469045的博客
03-19 1035
ACL(Access Control List):每一个客体都有一个列表,列表中记录的是哪些主体可以对哪些客体做什么。缺点:当主体的数量较多时,配置和维护成本大,易出错。 DAC(Discretionary Access control):是ACL的扩展,在其基础上,允许主体可以将自己拥有的 权限自主地授予其他主体,权限可以随意传递。缺点:权限控制比较分散,主体权限太大,有泄露信息的危险。 MAC(Mandatory Access Control):双向验证机制,常用于机密机构或
SpringBoot(一) 如何实现AOP权限控制
范大的博客
04-18 9433
Spring AOP是什么 最近负责开发一款内部人员使用的日志管理项目。其中涉及到了人员权限的校验问题。于是想到了用spring AOP的思路去实现,避免每次需要手动去添加代码校验。 Spring AOP是什么,Aspect Oriented Programming, 面向切面编程,是Spring的核心之一。面向切面很明显就是空间意义上的拦截操作。 比如我需要在每个业务逻辑的前后做些事情,在每次...
权限系统的设计模式 ACL RBAC ABAC
热门推荐
m0_37163942的博客
11-02 2万+
ACL(Access Control List):访问权限列表  如:   user1-->AC1 user1-->AC2 user2-->AC1    此时权限汇总成一个列表 这种设计最常见的应用就是文件系统的权限设计,如微软的NTFS 对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户 RBAC(Role Base A...
权限管理之基于ACL实现:针对需求做分析和设计
445822357
08-20 275
几乎所有的系统都需要进行权限管理,可见权限管理是非常基础而重要的。比如系统包含很多模块,以模块为单位,针对不同用户进行不同操作。比如张三对组织模块只能查看,而李四既可以进行查看,也可以进行修改。所以需要对模块进行权限管理,即权限授予和验证权限两个过程。 实现思路 使用角色达到复用。角色,即权限的集合。通过授予用户角色,达到控制权限的目的。好处很明显,角色具有通用性,比如既可以授予张三管理员...
基于AOP的细粒度RBAC模型研究
04-16
提出一种新的基于AOP技术的RBAC访问控制模型,是对传统RBAC访问控制模型的改进,突破了传统RBAC模型中不具备对细分数据的访问控制的限制。同时,本文根据面向对象技术对不同种类的细粒度进行了有效抽象,采用现有...
基于Spring框架应用的权限控制系统的研究和实现
02-04
Acegi是基于SpringIOC和AOP机制实现的一个安全框架。本文探讨了Acegi安全框架中各部件之间的交互,并通过扩展Acegi数据库设计实现基于Spring框架的应用的安全控制方法。 关键词Spring;Acegi;认证;授权1引言 ...
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了spring aop实现用户权限管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AOP技术介绍--(.Net中关于AOP实现
niuyongjie的专栏
09-26 9584
 一、AOP实现初步       AOP将软件系统分为两个部分:核心关注点和横切关注点。核心关注点更多的是业务逻辑,关注的是系统核心的业务;而横切关注点虽与核心的业务实现无关,但它却是一种更通用的业务,各个关注点离散地分布于核心业务的多处。这意味着,如果不应用AOP,那么这些横切关注点所代表的业务代码,就会分散在系统各处,导致系统中的每个模块都与这些业务具有很强的依赖性。在这里,所谓横切关注点
通用权限管理物理模型
06-17
基于PowerDesigner设计的表结构
安全系列之权限控制模型
lishinho的博客
06-14 2263
前言 这期分享一下几个权限模型,在设计系统的时候一个很重要的问题是权限。不同的场景用户会有不同的使用需求,如何设计一个合适的权限模型就显得尤关重要。下面会结合实际系统来介绍几种常见的权限模型。 在经典教科书中一般对权限系统中权限的使用者为主体,操作所针对的对象为客体。 数据库 大数据 文件系统 应用程序 APi 一,DAC 自主访问控制(Discretionary Access Control) DAC是使用中最常见的权限模型,特点是每项操作都有其对应的权限,所有的权限存储在系统的ACL表中,每个
常见的权限访问控制模型
weixin_30432579的博客
07-23 1446
权限访问控制即控制用户对资源或者服务的访问权限,目前流行的权限访问控制模型有以下几种。 MAC(Mandatory Access Control) 起初由政府和军方设计并使用, 它有非常严格的访问控制模型。 在MAC中, 所有的权限由管理员预定义, 并且由操作系统控制。 MAC实现了数据的权限分类(如重要的等级或安全的等级)和用户的权限分类(部门, 项目等), 这样在验证的时候就可以对比...
rabc的权限控制流程梳理php
汪原野
02-20 651
整理开发过程中的权限模型设计 常见的权限模型有如下这些; 1,ACL 访问控制列表 , 2,RBAC 基于角色的权限控制 3,ABAC 基于属性的权限控制 , 4,PBAC 基于策略的权限控制 以下就是对其中的RBAC权限控制模型实现描述: RBAC的实质就是控制不同的角色的访问不同的资源,如果需要删除,编辑一组相同用户的权限,只需要删除该角色下面权限,即可删除一组用户的权限,...
架构师之路-权限系统设计
土豆是狗的博客
11-01 399
权限系统设计 一个系统的核心,其中就包含权限数据管理。 这一部分的设计最为复杂也是系统设计的最基础的部分。 有幸我能设计这部分。 下面图能说清楚权限包含哪些概念。 权限:职能权利范围。(通俗说哪些事能干,哪些事不能干) 操作权限:一般体现在通过界面登录,登录进来到控制台,更直观的权限控制。 菜单权限:用户登录后,通过菜单显示控制这个用户的权限,正常的中型系统都具备这种功能。 按钮权限:这个细粒度...
PBACRBAC: 基于角色的访问控制为何不够
西京刀客
01-01 3375
文章目录PBACRBAC: 基于角色的访问控制为何不够授权的演变基于角色的访问控制(RBAC) :基于策略的访问控制(PBAC) :结束语: PBACRBAC: 基于角色的访问控制为何不够 授权---- 决定谁可以访问什么的过程---- 自20世纪80年代以来一直在稳步发展。今天,灵活、动态的基于策略的访问控制平台有助于保护不断增加的数据量,以抵御不断变化的网络威胁。 授权的演变 基于角色的访问控制(RBAC) : RBAC 于1992年引入,以解决计算机安全方面的不足。RBAC 为每个组织功能
【程序设计权限管理
一杯柠檬茶。
09-10 827
文章目录权限模型授权的演进使用属性来调节访问使用PBAC简化访问控制和智能化权限设置以自动化应对永恒的挑战ACLRBACABAC主要组成部分使用属性动态计算出决策结果应用场景PBAC权限模型的选择总结ABACRBAC基于组的访问 vs. 基于资源的访问 权限模型 ACL Access Control List(访问控制列表) RBAC Role-Based Access Control(基于角色的权限访问控制) ABAC Attribute-Based Access Control(基于属性的权限访问控制
浅谈权限管理设计实现
qq_35448165的博客
10-25 2021
一、权限管理的意义 保证安全:避免误操作、人为破坏、数据泄露等。 数据隔离:不同的权限能看到及操作不同的数据,互不干扰。 职责明确:不同角色处理不同事务,细化职责,规范并简化流程。 二、权限管理系统的通用设计思路 某个主体(subject也就是用户) 对某个 客体(object也就是资源) 需要实施某种操作(operation),系统对这种操作的管理控制就是权限控制。 1. 权限分类 操作权限 API 权限 菜单权限 按钮权限 数据权限 所谓操作权限就是用户是否有执行某项操作的权限,比方说是否可以审批你
要会设计一个事务类,里面有对应的简单方法。 要会用在容器中进行登记。 能够用aop:config aop:pointcut aop:aspect aop:before aop:after进行设置。
05-15
<aop:after method="commitTransaction" pointcut-ref="transactionalMethods"/> <aop:after-throwing method="rollbackTransaction" throwing="java.sql.SQLException" pointcut-ref="transactionalMethods"/> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值