rbac是什么

1.RBAC 簡介

RBAC（Role-based access control）是一種以角色為基礎的訪問控制（Role-based access control，RBAC），它是一種較新且廣為使用的權限控制機制，這種機制不是直接給用戶賦予權限，而是將權限賦予角色。

RBAC 權限模型將用戶按角色進行歸類，通過用戶的角色來確定用戶對某項資源是否具備操作權限。RBAC 簡化了用戶與權限的管理，它將用戶與角色關聯(lián)、角色與權限關聯(lián)、權限與資源關聯(lián)，這種模式使得用戶的授權管理變得非常簡單和易于維護。 

2.RBAC 的提出

權限、角色這些東西，在早期 1970 年代的商業(yè)計算機程序中就可以找到相關的應用，但是早期的程序相對簡單，而且并不存在一個明確的、通用的、公認的權限管理模型。

Ferraiolo 和 Kuhn 兩位大佬于 1992 年提出了一種基于通用角色的訪問控制模型（看來這個模型比松哥年齡還大），首次提出了 RBAC 權限模型用來代替?zhèn)鹘y(tǒng)的 MAC 和 DAC 兩種權限控制方案，并且就 RBAC 中的相關概念給出了解釋。

Ferraiolo，Cugini 和 Kuhn 于 1995 年擴展了 1992 年提出的權限模型。該模型的主要功能是所有訪問都是通過角色進行的，而角色本質上是權限的集合，并且所有用戶只能通過角色獲得權限。在組織內，角色相對穩(wěn)定，而用戶和權限都很多，并且可能會迅速變化。因此，通過角色控制權限可以簡化訪問控制的管理和檢查。

到了 1996 年，Sandhu，Coyne，F(xiàn)einstein 和 Youman 正式提出了 RBAC 模型，該模型以模塊化方式細化了 RBAC，并提出了基于該理論的 RBAC0-RBAC3 四種不同模型。

今天，大多數(shù)信息技術供應商已將 RBAC 納入其產(chǎn)品線，除了常規(guī)的企業(yè)級應用，RBAC 也廣泛應用在醫(yī)療、國防等領域。 

3.RBAC 三原則

1. 最小權限：給角色配置的權限是其完成任務所需要的最小權限集合。
2. 責任分離：通過相互獨立互斥的角色來共同完成任務。
3. 數(shù)據(jù)抽象：通過權限的抽象來體現(xiàn)，RBAC 支持的數(shù)據(jù)抽象程度與 RBAC 的實現(xiàn)細節(jié)有關。

4.RBAC 模型分類

說到 RBAC，我們就得從它的模型分類開始看起。

4.1 RBAC0

RBAC0 是最簡單的用戶、角色、權限模型。RBAC0 是 RBAC 權限模型中最核心的一部分，后面其他模型都是在此基礎上建立。

 

在 RBAC0 中，一個用戶可以具備多個角色，一個角色可以具備多個權限，最終用戶所具備的權限是用戶所具備的角色的權限并集。 

4.2 RBAC1

RBAC1 則是在 RABC0 的基礎上引入了角色繼承，讓角色有了上下級關系。

 

在本系列前面的文章中，松哥也曾多次向大家介紹過 Spring Security 中的角色繼承。

4.3 RBAC2

RBAC2 也是在 RBAC0 的基礎上進行擴展，引入了靜態(tài)職責分離和動態(tài)職責分離。

 

要理解職責分離，我們得先明白角色互斥。

在實際項目中，有一些角色是互斥的，對立的，例如財務這個角色一般是不能和其他角色兼任的，否則自己報賬自己審批，豈不是爽歪歪！

通過職責分離可以解決這個問題：

靜態(tài)職責分離

在設置階段就做好了限制。比如同一用戶不能授予互斥的角色，用戶只能有有限個角色，用戶獲得高級權限之前要有低級權限等等。

動態(tài)職責分離

在運行階段進行限制。比如運行時同一用戶下5個角色中只能同時有2個角色激活等等。

4.4 RBAC3

將 RBAC1 和 RBAC2 結合起來，就形成了 RBAC3。

 

5.擴展

我們日常見到的很多權限模型都是在 RBAC 的基礎上擴展出來的。

例如在有的系統(tǒng)中我們可以見到用戶組的概念，就是將用戶分組，用戶同時具備自身的角色以及分組的角色。