Spring Security中最流行的權(quán)限管理模型

時間：2020-10-09 10:03:33

關(guān)鍵字： rbac 訪問控制

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]本文要和大家聊聊一個非常流行的權(quán)限管理模型，那就是 RBAC。

前面和大家說了 ACL，講了理論，也給了一個完整的案例，相信小伙伴們對于 ACL 權(quán)限控制模型都已經(jīng)比較了解了。

本文我要和大家聊一聊另外一個非常流行的權(quán)限管理模型，那就是 RBAC。

1.RBAC 簡介

RBAC（Role-based access control）是一種以角色為基礎(chǔ)的訪問控制（Role-based access control，RBAC），它是一種較新且廣為使用的權(quán)限控制機制，這種機制不是直接給用戶賦予權(quán)限，而是將權(quán)限賦予角色。

RBAC 權(quán)限模型將用戶按角色進行歸類，通過用戶的角色來確定用戶對某項資源是否具備操作權(quán)限。RBAC 簡化了用戶與權(quán)限的管理，它將用戶與角色關(guān)聯(lián)、角色與權(quán)限關(guān)聯(lián)、權(quán)限與資源關(guān)聯(lián)，這種模式使得用戶的授權(quán)管理變得非常簡單和易于維護。

2.RBAC 的提出

權(quán)限、角色這些東西，在早期 1970 年代的商業(yè)計算機程序中就可以找到相關(guān)的應(yīng)用，但是早期的程序相對簡單，而且并不存在一個明確的、通用的、公認的權(quán)限管理模型。

Ferraiolo 和 Kuhn 兩位大佬于 1992 年提出了一種基于通用角色的訪問控制模型（看來這個模型比松哥年齡還大），首次提出了 RBAC 權(quán)限模型用來代替?zhèn)鹘y(tǒng)的 MAC 和 DAC 兩種權(quán)限控制方案，并且就 RBAC 中的相關(guān)概念給出了解釋。

Ferraiolo，Cugini 和 Kuhn 于 1995 年擴展了 1992 年提出的權(quán)限模型。該模型的主要功能是所有訪問都是通過角色進行的，而角色本質(zhì)上是權(quán)限的集合，并且所有用戶只能通過角色獲得權(quán)限。在組織內(nèi)，角色相對穩(wěn)定，而用戶和權(quán)限都很多，并且可能會迅速變化。因此，通過角色控制權(quán)限可以簡化訪問控制的管理和檢查。

到了 1996 年，Sandhu，Coyne，F(xiàn)einstein 和 Youman 正式提出了 RBAC 模型，該模型以模塊化方式細化了 RBAC，并提出了基于該理論的 RBAC0-RBAC3 四種不同模型。

今天，大多數(shù)信息技術(shù)供應(yīng)商已將 RBAC 納入其產(chǎn)品線，除了常規(guī)的企業(yè)級應(yīng)用，RBAC 也廣泛應(yīng)用在醫(yī)療、國防等領(lǐng)域。

目前網(wǎng)上關(guān)于 RBAC 理論性的東西松哥只找到英文的，感興趣的小伙伴可以看下，地址是：

https://csrc.nist.gov/projects/Role-Based-Access-Control

如果小伙伴們有中文的資料鏈接，歡迎留言說明。

3.RBAC 三原則

最小權(quán)限：給角色配置的權(quán)限是其完成任務(wù)所需要的最小權(quán)限集合。
責(zé)任分離：通過相互獨立互斥的角色來共同完成任務(wù)。
數(shù)據(jù)抽象：通過權(quán)限的抽象來體現(xiàn)，RBAC 支持的數(shù)據(jù)抽象程度與 RBAC 的實現(xiàn)細節(jié)有關(guān)。

4.RBAC 模型分類

說到 RBAC，我們就得從它的模型分類開始看起。

4.1 RBAC0

RBAC0 是最簡單的用戶、角色、權(quán)限模型。RBAC0 是 RBAC 權(quán)限模型中最核心的一部分，后面其他模型都是在此基礎(chǔ)上建立。

圖片源自網(wǎng)絡(luò)

在 RBAC0 中，一個用戶可以具備多個角色，一個角色可以具備多個權(quán)限，最終用戶所具備的權(quán)限是用戶所具備的角色的權(quán)限并集。

4.2 RBAC1

RBAC1 則是在 RABC0 的基礎(chǔ)上引入了角色繼承，讓角色有了上下級關(guān)系。

圖片源自網(wǎng)絡(luò)

在本系列前面的文章中，松哥也曾多次向大家介紹過 Spring Security 中的角色繼承。

4.3 RBAC2

RBAC2 也是在 RBAC0 的基礎(chǔ)上進行擴展，引入了靜態(tài)職責(zé)分離和動態(tài)職責(zé)分離。

圖片源自網(wǎng)絡(luò)

要理解職責(zé)分離，我們得先明白角色互斥。

在實際項目中，有一些角色是互斥的，對立的，例如財務(wù)這個角色一般是不能和其他角色兼任的，否則自己報賬自己審批，豈不是爽歪歪！

通過職責(zé)分離可以解決這個問題：

靜態(tài)職責(zé)分離

在設(shè)置階段就做好了限制。比如同一用戶不能授予互斥的角色，用戶只能有有限個角色，用戶獲得高級權(quán)限之前要有低級權(quán)限等等。

動態(tài)職責(zé)分離

在運行階段進行限制。比如運行時同一用戶下5個角色中只能同時有2個角色激活等等。

4.4 RBAC3

將 RBAC1 和 RBAC2 結(jié)合起來，就形成了 RBAC3。

圖片源自網(wǎng)絡(luò)

5.擴展

我們?nèi)粘Ｒ姷降暮芏鄼?quán)限模型都是在 RBAC 的基礎(chǔ)上擴展出來的。

例如在有的系統(tǒng)中我們可以見到用戶組的概念，就是將用戶分組，用戶同時具備自身的角色以及分組的角色。

6.小結(jié)

好啦，今天就和小伙伴們簡單介紹下 RBAC 權(quán)限模型。其實 RBAC 只要把權(quán)限模型搞清楚了，技術(shù)上來說，基本上沒啥問題。如果你把松哥 vhr 中涉及到的 Spring Security 技術(shù)搞懂了，結(jié)合今天的文章，用 Spring Security 實現(xiàn) RBAC 完全不成問題～當然，我后面也抽空給大家整一個 RBAC 的 DEMO。