网站编辑器,山西笑傲网站建设推广,郑州职业技术学院,前端vueACL(Access Control List#xff1a;访问控制列表)
最简单的一种方式#xff0c;将权限直接与用户或用户组相关联#xff0c;管理员直接给用户授予某些权限即可。 这种模型适用于小型和简单系统#xff0c;权限一块较为简单#xff0c;并且角色和权限的变化较少。 RBAC(R…ACL(Access Control List访问控制列表)
最简单的一种方式将权限直接与用户或用户组相关联管理员直接给用户授予某些权限即可。 这种模型适用于小型和简单系统权限一块较为简单并且角色和权限的变化较少。 RBAC(Role-Based Access Control,基于角色的访问控制)
最常见的一种方式通过定义角色和角色的权限集合来管理访问控制。用户被分配到角色角色与权限相关联从而精确地控制用户对系统资源的访问。适用于大型系统特别是那些需要灵活、可扩展的权限管理的场景。使用 RBAC 可以简化权限管理的复杂性并提高系统的安全性。
用户和角色的关系多对多关系一个用户可以有多种角色一个角色对应好几个用户。
角色和权限的关系多对多关系一个角色可以拥有多种权限同样某个权限可能有多个角色拥有 RBAC的扩展NIST标准包含的4级RBAC模型
RBAC0Core RBAC
基本模型有三个元素用户、角色和权限。
模型设计基于“多对多”原则即多个用户可以具有相同的角色一个用户可以具有多个角色。同样您可以将同一权限分配给多个角色也可以将同一角色分配给多个权限。 RBAC1Hierarchical RBAC
添加了第四个组件-层次结构它定义了不同角色之间的资历关系。通过允许高级角色自动获取下级角色的权限可以消除冗余例如在角色重叠时必须指定某些权限。 分层RBAC支持几种类型的层次结构 树自底向上的层次结构树底部的元素将权限授予更高的元素。例如底部是一个具有常规权限的部门角色所有权限比较小上面的节点除了继承底部节点的权限还可以添加自有的权限这可以满足不同部门拥有不用的权限也有相同的权限的需求。 倒树自上而下的层次结构其中高级角色将其部分权限继承给下级角色。这种结构中层节点的权限均继承于底部节点所以同层节点不存在共享权限。 网格二者相结合的组合其中每个角色都可以从其下方和上方的节点继承权限。此种结构相对比较灵活既可以有共享权限也可以有自有权限且顶级节点拥有最大的权限。 RBAC2Static separation of duty (SSD) relations
为了在存在利益冲突策略的情况下提供帮助将根据用户分配添加角色之间的关系。即角色之间有相斥的联系作为一个角色的成员的用户将无法被指派为具有利益冲突的角色的成员。 RBAC3Dynamic separation of duty (DSD) relations
与SSD一样DSD限制了可用的用户权限但基于不同的上下文。例如根据会话期间执行的任务用户可能需要不同级别的访问DSD限制会话期间激活的权限。 使用RBAC的好处有哪些
RBAC最大的优点之一是它提供了一种系统化的方法用于定义和维护角色能够仅根据用户需要一致地授予访问权限从而降低数据泄露或数据丢失的风险。
当然他还有很多好处比如
简化了基础操作可以通过属性自动为新用户分配访问权限可以用来快速入职简化IT管理工作可以快速重新分配权限降低高级访问控制的成本 RBAC存在的缺陷
1、需要了解组织结构知识
在真正运用的时候需要对组织、部门等东西进行协调并和之前所存在角色进行比较区分并在参与讨论后才能定义并创建角色。
2、分配角色需要深思熟虑
分配角色可能是一项挑战。可能会出现很多问题答案并不总是清晰的。例如安全团队是否需要访问他们试图保护的数据包含哪些访问权限创建/读取/更新/删除是否应为用户分配部门之外的角色以确保临时访问特权文件
3、缺乏灵活性
组织成长团队扩张访问需求发生变化。在RBAC项目开始时定义的角色可能不再符合公司目标。
结果如何人员的角色和权限级别可能不一致。例如一个人可能被赋予过多的角色权限、分配过多的角色或者两者兼而有之。虽然这些努力可能会起到快速修复的作用但它们也会造成安全漏洞和法规遵从性挑战从而打消了您最初实施RBAC的全部原因。
4、角色爆炸
一些团队试图通过定义越来越细粒度的角色、在出现新需求时创建临时角色或将太多的角色分配给单个用户来回避上述问题。虽然这可能会在短期内缓解摩擦但也会让RBAC变得混乱难以管理。 ABAC(Attribute-Based Access Control,基于属性的访问控制)
又称为PBAC(Policy-Based Access Control,基于策略的访问控制),或CBAC(Claims-Based Access Control,基于声明的访问控制)。
是一种基于属性的权限管理模型它根据多个属性如用户属性、环境、时间、操作等来进行访问控制决策。ABAC 通过定义策略来决定用户是否有权访问特定的资源。该模型适合于需要更细粒度、动态和灵活的访问控制的场景。ABAC 在复杂的环境中可以提供高度的可配置性和可扩展性。
有较好的灵活性
