第一节 权限管理(RBAC模型)

亮子 2022-11-12 02:50:23 17490 0 0 0

1、电商的用户角色

  • 消费者
  • 商家(卖家)
  • 平台用户(管理员角色)
  • 采购员
  • 客服(解决售后问题的人:一类是由商家提供的,另一类是平台客服)
  • 主播(带货主播)

2、RBAC模型

RBAC(Role-Based Access Control)——基于角色的访问控制。

RBAC模型是什么?
RBAC是一套成熟的权限模型。在传统权限模型中,我们直接把权限赋予用户。而在RBAC中,增加了“角色”的概念,我们首先把权限赋予角色,再把角色赋予用户。这样,由于增加了角色,授权会更加灵活方便。在RBAC中,根据权限的复杂程度,又可分为RBAC0、RBAC1、RBAC2、RBAC3。其中,RBAC0是基础,RBAC1、RBAC2、RBAC3都是以RBAC0为基础的升级。我们可以根据自家产品权限的复杂程度,选取适合的权限模型。

图片alt

三张基础表

  • 用户表:使用系统的人
  • 角色表:使用系统的人是什么职位(员工、经理、总裁)
  • 权限表:职位可以做的事情(左侧菜单栏中的功能模块——>增删改查)

两张关联表

  • 用户角色表:用户有哪些角色
  • 角色权限表:某个角色拥有哪些权限

3、基本模型RBAC0

RBAC0是基础,很多产品只需基于RBAC0就可以搭建权限模型了。在这个模型中,我们把权限赋予角色,再把角色赋予用户。用户和角色,角色和权限都是多对多的关系。用户拥有的权限等于他所有的角色持有权限之和。

图片alt

4、角色分层模型RBAC1

RBAC1建立在RBAC0基础之上,在角色中引入了继承的概念。简单理解就是,给角色可以分成几个等级,每个等级权限不同,从而实现更细粒度的权限管理。

图片alt

5、角色限制模型RBAC2

RBAC2同样建立在RBAC0基础之上,仅是对用户、角色和权限三者之间增加了一些限制。这些限制可以分成两类,即静态职责分离SSD(Static Separation of Duty)和动态职责分离DSD(Dynamic Separation of Duty)。具体限制如下图:

图片alt

6、统一模型RBAC3

RBAC3是RBAC1和RBAC2的合集,所以RBAC3既有角色分层,也包括可以增加各种限制。

图片alt

7、基于RBAC的延展——用户组

图片alt

譬如,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角色,使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角色权限。

示意图:

图片alt

参考文章