Spring Security中最流行的權(quán)限管理模型

前面和大家說(shuō)了 ACL，講了理論，也給了一個(gè)完整的案例，相信小伙伴們對(duì)于 ACL 權(quán)限控制模型都已經(jīng)比較了解了。

本文我要和大家聊一聊另外一個(gè)非常流行的權(quán)限管理模型，那就是 RBAC。

1.RBAC 簡(jiǎn)介

RBAC（Role-based access control）是一種以角色為基礎(chǔ)的訪問(wèn)控制（Role-based access control，RBAC），它是一種較新且廣為使用的權(quán)限控制機(jī)制，這種機(jī)制不是直接給用戶賦予權(quán)限，而是將權(quán)限賦予角色。

RBAC 權(quán)限模型將用戶按角色進(jìn)行歸類，通過(guò)用戶的角色來(lái)確定用戶對(duì)某項(xiàng)資源是否具備操作權(quán)限。RBAC 簡(jiǎn)化了用戶與權(quán)限的管理，它將用戶與角色關(guān)聯(lián)、角色與權(quán)限關(guān)聯(lián)、權(quán)限與資源關(guān)聯(lián)，這種模式使得用戶的授權(quán)管理變得非常簡(jiǎn)單和易于維護(hù)。

2.RBAC 的提出

權(quán)限、角色這些東西，在早期 1970 年代的商業(yè)計(jì)算機(jī)程序中就可以找到相關(guān)的應(yīng)用，但是早期的程序相對(duì)簡(jiǎn)單，而且并不存在一個(gè)明確的、通用的、公認(rèn)的權(quán)限管理模型。

Ferraiolo 和 Kuhn 兩位大佬于 1992 年提出了一種基于通用角色的訪問(wèn)控制模型（看來(lái)這個(gè)模型比松哥年齡還大），首次提出了 RBAC 權(quán)限模型用來(lái)代替?zhèn)鹘y(tǒng)的 MAC 和 DAC 兩種權(quán)限控制方案，并且就 RBAC 中的相關(guān)概念給出了解釋。

Ferraiolo，Cugini 和 Kuhn 于 1995 年擴(kuò)展了 1992 年提出的權(quán)限模型。該模型的主要功能是所有訪問(wèn)都是通過(guò)角色進(jìn)行的，而角色本質(zhì)上是權(quán)限的集合，并且所有用戶只能通過(guò)角色獲得權(quán)限。在組織內(nèi)，角色相對(duì)穩(wěn)定，而用戶和權(quán)限都很多，并且可能會(huì)迅速變化。因此，通過(guò)角色控制權(quán)限可以簡(jiǎn)化訪問(wèn)控制的管理和檢查。

到了 1996 年，Sandhu，Coyne，F(xiàn)einstein 和 Youman 正式提出了 RBAC 模型，該模型以模塊化方式細(xì)化了 RBAC，并提出了基于該理論的 RBAC0-RBAC3 四種不同模型。

今天，大多數(shù)信息技術(shù)供應(yīng)商已將 RBAC 納入其產(chǎn)品線，除了常規(guī)的企業(yè)級(jí)應(yīng)用，RBAC 也廣泛應(yīng)用在醫(yī)療、國(guó)防等領(lǐng)域。

目前網(wǎng)上關(guān)于 RBAC 理論性的東西松哥只找到英文的，感興趣的小伙伴可以看下，地址是：

• https://csrc.nist.gov/projects/Role-Based-Access-Control

如果小伙伴們有中文的資料鏈接，歡迎留言說(shuō)明。

3.RBAC 三原則

1. 最小權(quán)限：給角色配置的權(quán)限是其完成任務(wù)所需要的最小權(quán)限集合。
2. 責(zé)任分離：通過(guò)相互獨(dú)立互斥的角色來(lái)共同完成任務(wù)。
3. 數(shù)據(jù)抽象：通過(guò)權(quán)限的抽象來(lái)體現(xiàn)，RBAC 支持的數(shù)據(jù)抽象程度與 RBAC 的實(shí)現(xiàn)細(xì)節(jié)有關(guān)。

4.RBAC 模型分類

說(shuō)到 RBAC，我們就得從它的模型分類開(kāi)始看起。

4.1 RBAC0

RBAC0 是最簡(jiǎn)單的用戶、角色、權(quán)限模型。RBAC0 是 RBAC 權(quán)限模型中最核心的一部分，后面其他模型都是在此基礎(chǔ)上建立。

圖片源自網(wǎng)絡(luò)

在 RBAC0 中，一個(gè)用戶可以具備多個(gè)角色，一個(gè)角色可以具備多個(gè)權(quán)限，最終用戶所具備的權(quán)限是用戶所具備的角色的權(quán)限并集。

4.2 RBAC1

RBAC1 則是在 RABC0 的基礎(chǔ)上引入了角色繼承，讓角色有了上下級(jí)關(guān)系。

圖片源自網(wǎng)絡(luò)

在本系列前面的文章中，松哥也曾多次向大家介紹過(guò) Spring Security 中的角色繼承。

4.3 RBAC2

RBAC2 也是在 RBAC0 的基礎(chǔ)上進(jìn)行擴(kuò)展，引入了靜態(tài)職責(zé)分離和動(dòng)態(tài)職責(zé)分離。

圖片源自網(wǎng)絡(luò)

要理解職責(zé)分離，我們得先明白角色互斥。

在實(shí)際項(xiàng)目中，有一些角色是互斥的，對(duì)立的，例如財(cái)務(wù)這個(gè)角色一般是不能和其他角色兼任的，否則自己報(bào)賬自己審批，豈不是爽歪歪！

通過(guò)職責(zé)分離可以解決這個(gè)問(wèn)題：

靜態(tài)職責(zé)分離

在設(shè)置階段就做好了限制。比如同一用戶不能授予互斥的角色，用戶只能有有限個(gè)角色，用戶獲得高級(jí)權(quán)限之前要有低級(jí)權(quán)限等等。

動(dòng)態(tài)職責(zé)分離

在運(yùn)行階段進(jìn)行限制。比如運(yùn)行時(shí)同一用戶下5個(gè)角色中只能同時(shí)有2個(gè)角色激活等等。

4.4 RBAC3

將 RBAC1 和 RBAC2 結(jié)合起來(lái)，就形成了 RBAC3。

圖片源自網(wǎng)絡(luò)

5.擴(kuò)展

我們?nèi)粘Ｒ?jiàn)到的很多權(quán)限模型都是在 RBAC 的基礎(chǔ)上擴(kuò)展出來(lái)的。

例如在有的系統(tǒng)中我們可以見(jiàn)到用戶組的概念，就是將用戶分組，用戶同時(shí)具備自身的角色以及分組的角色。

6.小結(jié)

好啦，今天就和小伙伴們簡(jiǎn)單介紹下 RBAC 權(quán)限模型。其實(shí) RBAC 只要把權(quán)限模型搞清楚了，技術(shù)上來(lái)說(shuō)，基本上沒(méi)啥問(wèn)題。如果你把松哥 vhr 中涉及到的 Spring Security 技術(shù)搞懂了，結(jié)合今天的文章，用 Spring Security 實(shí)現(xiàn) RBAC 完全不成問(wèn)題～當(dāng)然，我后面也抽空給大家整一個(gè) RBAC 的 DEMO。