00:00
嗯。好,各位同学,那接下来呢,我们再把这个ER的授权模型再简单看一下啊来这块呢,有一段话我们先来读一下。来我们看一下啊,就是ranger所采用的这个权限管理模型啊,其实前面咱们提到过,我们说ranger的权限管理模型呢,它是不是支持以角色啊,就是基于角色的授权管理,对不对,也支持基于属性的授权管理。其实在那儿呢,它主主要就是哪种啊,我们主要应用的就是基于角色的权限管理模型,所以在这儿我给大家把这个基于角色的权限管理模型简单简单说一下,这个咱们简单了解一下就行啊,其实很简单啊,来那证所采用的全管理模型呢,可以归类为RBAC啊这样的一个呃模型,什么叫RBAC啊,就是base的access control啊,是不是就是一个首字母嘛,对吧?啊就是基于角色的访问控制啊,什么叫基于角色的访问控制呢?来看一下啊,就是基础的RBAC模型当中总共包含三个实体,那分别是用户user啊,角色role以及权限permission,其实在这个,呃,我在之前给大家讲那个阿斯卡湾用户管理的时候,是不是提到过这几个概念啊,对吧?啊,其实跟那个是类似的啊好,那接着往下走,那这三个实体分别是什么呢?大家看一下我们的用户需要划分为某个角色。
01:18
那权限的授予对象呢,也是谁,是不是也是角色呀,对吧?啊,那所以说呢,那假如说张三啊,我将其设为管理员角色,那他是不是就拥有了管理员角色的所有权限啊,对吧?啊是这样的啊,就是基础的RBAC模型啊,我们这个是不能直接授予为谁的呀。不能直接授予用户的,我得授予谁,我必须得授予角色,对不对,那我用户呢,是必须得属于一个角色的,他才能有权限,能理解吧,也就是他们都是面向谁的,都是面向角色的啊,是这样的啊,那但是呢,这个reer的权限管理模型要比这个基础的RBAC模型要更加的灵活,它要更灵活,没有了那么多的限制啊OK,那接下来我们看一看它到底是怎么灵活的啊,这样呢,我给大家做了一个PPT,简单看一下啊,来给它打开。
02:06
再给打开啊。来,双击。啊,大家一起来看一下啊,首先大家现在看到的呢,就是我们reer当中的几个主,主要的一个对象啊,那首先这里边有用户有角色也有权限,对不对啊,然后呢,他还引入了谁。还引入了组group啊,是这样的啊,一共有这样的四个角,四个对象啊来那下来我们看一下这四个对象他们分别是怎样的一个存储关系,那首先我们先看第一个。来一起看啊,那这里边用户啊,用户有啥,是不是有什么user a user b user c,这应该是能看懂对不对,那这叫啥是不是就是一个组啊一个组,那角色呢,是不是有什么肉一肉二这样的几个角色呀,对吧?OK,那接下来往下走,权限,权限是不是有什么line权限,色权限类的权限等等等等啊对吧?哎,这是不同的这个呃,权限啊OK,那接下来我们看一下他们的对应关系是啥样的啊先看第一条来。大家致观察,你看啊,我这个用户他是不是可以属于一个组啊,对吧,比如说用户A啊,用户C是不是都属于各入A对不对,那我用户还能属于啥呢。
03:06
哎,我呃,我这个组啊,现在组啊,那组它是不是也可以属于一个这个角色呀,对吧?啊,那假如说啊,这个组要属于这个角色,那是不是这两个用户就都属于这个角色了,是是这个道理吧,OK,那我们再继续看啊,大家走,那你看我的用户是不是还能直接属于一个角色呀,对吧,也就是我用户我我不一定非得属于这个组,然后再通过组去属于角色,我用户也可以直接属于角色,是不是这个相对比较灵活呀,对吧?啊是这样的啊,OK,那接下来我们再继续往下走。大家看你看这个肉,它也能属于另外一个肉。啊,啥意思,也就我这个角色是不是也可以从属于另外一个角色,叭,如说这是一个呃,高级一点的角色,那这个呢,是一个低级一点的角色啊,它也是能够从属的,也是他这个用户主和角色这个关系是不是十分的自由啊,对吧,十分的灵活的,十分灵活的,但是呢,这个你级别不能乱了,你级别是不能乱的啊,你必须得从哪从哪到哪,必须得从用户到组到角色啊,当然我这里边是可以跳的,对不对啊,但是你不能说,诶我这个角色属于一个用户,这样对吗?这肯定是不对的,能理解吧?啊,它是有前后也有级别的,这个要理解一下啊,那用户的关系咱们应该就搞清楚,那接下来我们再来看一下用户和我们这个权限之间的关系,你看这个授权的时候,我们能怎么授予啊,来看一下。
04:25
OK,那首先因为它是一个也算是一个基于角色的这样一个授权管理模型,对不对,那所以说我们的权限是不是可以授予具体的一个角色对不对,那大家想一想啊,我现在是把iner的权限授予了肉一这个角色,对不对?那大家来看一看啊,到底哪些用户会拥有这个ER的权限。来看这个能不能看懂。咱哪会这个会不会有。他会不会有特权,这个权限会有吧,因为他是不是属于肉一,肉一是不是有这个权权限,那他是不是就有了,对不对,那还有谁会有。你看啊,肉二下边的呃个ROA里边的所有的用户是不是也会拥有in的权现呀,能理解吧,它是这样一个逻辑啊,这个应该是能看懂对吧?好接来继续,我们看还可以怎样授权。
05:10
来我的权限还能直接授予一个组,也就是说我不一定非得把权限授予这个肉,对吧,不一定授予角色,我也可以授予一个组,那你想想delete他是不是剩余的group a了,对不对,那是不是group a下边的所有的用户,也就是A和C用户是不是就拥有这个delete的权限了啊,是这样的一个逻辑,然后我们再去往下走,那除此之外还有啥,是不是还有诶这个权限我也能够直接授予谁?我也直接能能够直接授予一个用户啊,这个大家应该能理解的,对吧?那也就是说我们这个权限授予的时候呢,是十分灵活的,我可以直接授予一个用户,我也可以直接授予一个,我也可以直接授予一个group啊,就是权限授予是十分十分的灵活的,十分灵活的OK啊,那这就是的这个权限管理模型啊,那其实我们刚才做的这个权限管理,咱们的使使用的是哪种啊,是不是直接将一个权限授予了一个用户啊,对吧?哎,那我要想授予一个组怎么授予啊。
06:09
怎么授予很简单啊,咱们现在比如说点击艾,你有policy对不对,那么之后上边是不是还是选择相应的资源对不对,那咱们这就不选了,让往下走,你看这个位置我们能选啥。我是不是能选肉,能选group,能选U啊对吧?那比如说我现在我想授予某个组,那你这写组呗,比如说还不组啊,那A啊,那拿过来就得了呗,对不对,那什么权限呢?是不是正常的,还是比如说就是拿过来那张下来,咱们是不是就完成了权限到组的这个授予来,对吧?那你完成这个权限到组的授予之后,那你想一想啊,那我是不是这个组下边所有的用户都拥有了你授予的这个权限了,对不对,那同样道理,我还能授予啥,我是不是还能授予肉啊,对吧?啊,但是我授予肉的时候呢,你发现他这是他说啥没有肉对不对,那也是个角色,咱现在没有对不对,为啥为啥组是有的,角色是没有的。这个很好理解,组我是不是在同步用户的时候,就把它组信息也同步过来啊,对吧,你比如说你点这点这咱们点点点点一下这个setting啊,点这点这这里边是不是你看有这个,呃,User的名称对不对,那后边有啥,是不是有它所属的组啊对吧?组的信息我们也能同过,但是肉的信息我们这个系统上面有嘛,我们SS里边有吗。
07:19
森达斯,就是没有这个肉的权限,这个角色的对不对,没有这个概念,所以说你要想对这个角色授予权限,你得怎么办,你得干啥,你得自己去创建这个肉是不是才可以,那怎么自己创建肉啊。这是不是就是Rose,点到这个user group Rose,这是不是就有Rose,对不对,那怎么办?是不是没有,没有的话自己添加呗,对不对,比如说我现在呢,我我需要自己去添加一个Rose对吧,随便点一个,比如说这个,呃,咱们就叫role吧,肉啊就叫肉肉一吧啊肉一,那么之后下边怎么填。这只是起的一个名字,对不对?那你这个角色下边是不是得有用户才可以,对不对?然后大家来看一下啊,我往这个呃角色下面去添加的时候,我是不是能够直接选择具体的用户对不对?比如说我艾特他,呃再艾特一个他完了之后再继续,那再来一个他,那完之后艾特users,那这是不是就已经出现了用户了,对不对?那除此之外我还能怎么做,我是不是还能直接添加组,那比如说我要添加一个还多个组,那是不是这个组下边所有的用户都会属于咱们这个肉啊,对不对,那我除了能加组还能添加谁?
08:21
我是不是还能添加其他的肉啊,对吧?那这个正好对应于我刚才在这个PPT当中画的哪部分呀,是不是就我这个用户的对应部分,对不对啊,就是这么一回事啊,OK,那现在都选完之后呢?OK,你可以点击私有保存啊,那现在这个肉咱是不是就有了,那有了之后,那接下来我要再想去做这个权限的管理,那怎么办?是不是就可以基于这个肉去授予权限了,对吧?你看我现在点是不是就已经有咱们这个肉一了,那这个肉一下面的所有用户就都有这个权限了啊就这样一个逻辑啊,其实很简单这个东西啊,行,那这个呢,就是ranger当中的权限管理模型啊来,我把视频停一下。
我来说两句