关于RBAC(Role-Base Access Control)的理解

基于角色的访问控制(Role-Base Access Control)

有两种正在实践中使用的RBAC访问控制方式:隐式(模糊)的方式和显示(明确)的方式。

今天依旧有大量的软件应用是使用隐式的访问控制方式。显示的访问控制方式更适合于当前的软件应用。

隐式的访问控制

隐式的访问控制就是并没有给角色添加具体权限操作,只是给访问的用户添加了一个标识,告诉系统我是隶属于这个角色的,只要系统允许这角色操作的资源,我就有权限去操作。

比如说,我现在某个系统有两个角色,分别是“超级管理员”,"项目管理员",“普通用户”;

用户有: root 、zhangSan;

分别给上面三个用户赋予角色:root  赋予 “超级管理员” 角色 / zhangSan 赋予 “普通用户” 角色

那么我现在有一个修改用户密码的功能,这个功能只能是“超级管理员”角色的用户才能操作,那么隐式访问控制的具体代码将会是如下:

if( currentUser.hasRole("超级管理员")){
    //有权限进行操作
}else{
   //没有权限进行操作
}

上面这段代码说的是,如果当前访问用户对象隶属于“超级管理员”这个角色,那么有权限进行修改用户密码操作,否则没有权限进行操作。

这种权限操作是没有明确告诉系统这个角色可以干什么,而是程序员知道这个角色能干吗,靠if else在程序中进行判断这些角色能干吗。

如果此时增加一个“普通用户”也可以修改用户密码的权限,那么此时代码就应该改成如下:

if( currentUser.hasRole("超级管理员") || currentUser.hasRole("普通用户")){
    //有权限进行操作
}else{
   //没有权限进行操作
}

这样的权限管理不太好,仅仅是因为一个微小的权限方面的需求变动,就需要改动代码,重新编译、部署...

如果又让项目管理员也有这样的权限的话,又得修改了。。。

所以,推荐下面的显式的访问控制。

显式的访问控制

显式的访问控制是明确的告诉系统这些角色具体能干吗,让隶属于这个角色的用户都拥有相应的权限。

如:“超级管理员”{“创建用户”,“修改用户密码”,“删除用户”}的权限

那么修改用户密码的代码就该如下所示:

//获取当前用户的角色,再通过角色来判断是否有“修改用户密码的权限”
if( currentUser.getRole().isPermission("修改用户密码")){
   //有权限进行操作
}else{
    //无权限进行操作  
}

假设我要去除掉超级管理员的“修改用户密码”的权限,那么我只需要修改权限的配置文件,而不需要修改代码部分。

所以,推荐使用显式访问控制。

问题:权限系统对技术选型有什么考虑,或者说为什么选择shiro框架,有没有考虑过其他方案?

权限系统首先是要考虑权限分配,权限分配是要看你自己设置什么样的用户,能拥有什么权限。比如基于角色的授权管理有三个要素:权限、角色、用户。管理员能浏览所有的页面,能进行增删查改,普通用户只能浏览公开的页面,只能查看、和修改等。

通常的做法就是将权限分配给某个角色,然后将这个角色关联一个或多个用户。shiro是开源的java安全框架,它在授权方面可以验证某个已认证的用户是否拥有某个角色,或者细粒度的验证某个用户对某个资源是否具有某个权限。shiro简单,易用,功能强大,spring官网就是用的shiro,shiro不仅支持web项目,还支持非web项目,和spring可以整合。shiro是一个很强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。我们也可以用spring security安全框架,但是它的学习成本比较高,比shiro复杂。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏容器化

一个典型的kubernetes工作流程 - kubernetes

27720
来自专栏数据和云

浅谈TimesTen内存数据库的结构

作者介绍 ? 朱亮 云和恩墨技术专家,6年专职oracle dba生涯先后服务于保险、金融、电信、百货等客户 Oracle TimesTen In-Memor...

43380
来自专栏FreeBuf

爬虫代理搭建与批量安装

代理对于搞爬虫的都不会陌生。公司有一批阿里云服务器用于分布式增量抓取,但对于一些封ip且只需进行一次全量抓取的数据源,或数据量级较小时,如果部署到爬虫集群上又太...

56250
来自专栏施炯的IoT开发专栏

Windows 10 IoT Serials 6 - 如何修改IoTStartupOnBoot.cmd文件

    使用Windows 10 IoT Core系统的朋友应该会比较熟悉IoTStartupOnBoot.cmd文件,该文件是系统启动以后加载的批处理文件,一...

27380
来自专栏Java技术分享

关于RBAC(Role-Base Access Control)的理解

有两种正在实践中使用的RBAC访问控制方式:隐式(模糊)的方式和显示(明确)的方式。

23680
来自专栏LIN_ZONE

Linux各目录及每个目录的详细介绍(转载)

Linux目录和Windows目录有着很大的不同,Linux目录类似一个树,最顶层是其根目录,如下图:

15620
来自专栏WindCoder

CentOS安装LNMPA

网上这类教程太多了,此处仅作为一个常用命令的记录,详细教程会在参考资料中给出地址,有兴趣的可以去看一下。

21010
来自专栏吴柯的运维笔记

Linux系统下搭建LNMP环境

“每个理性的IT人士都置顶了吴柯的运维笔记” LNMP代表的就是:Linux系统下Nginx+MySQL+PHP这种网站服务器架构。 Linux是一类Unix计...

58260
来自专栏北京马哥教育

这些git技能够你用一年了

用git有一年了,下面是我这一年来的git使用总结,覆盖了日常使用中绝大多数的场景。嗯,至少是够用一年了,整理出来分享给大家,不明白的地方可以回复交流。 ---...

31370
来自专栏IT笔记

公司内网搭建代理DNS使用内网域名代替ip地址

89560

扫码关注云+社区

领取腾讯云代金券