最佳基于角色的访问控制 (RBAC) 数据库模型

Question

Closed. This question is opinion-based. It is not currently accepting answers.

---

想要改进这个问题吗？更新问题，以便可以通过编辑这篇文章用事实和引文来回答它。

8 年前已关闭。

Answer 1

根据我在该领域的基本知识，RBAC 的基本参与者是：

• 资源。
• 权限。
• 用户。
• 角色（即组）。

资源 <- 需要-> （一个或多个）权限。

角色 <- 是 -> 的集合 （一个或多个）权限。

用户 <- 可以拥有-> （一个或多个）角色。

这种模型的表为：

• 权限
• 角色
• user
• role_permission
• user_role

现在，如果您希望应用程序的用户能够配置资源需要哪些权限，您可能还需要在此处包含资源。 但我从来不需要那个。 希望有帮助。

Answer 2

这是一个简单的图表来说明 Amr Mostafa 的出色答案

Answer 3

我当时正好正在研究 RBAC 子系统……真是太巧了。

我的模型基于系统中需要权限的不同实体的构建块，无论是要查看/更新的属性还是要执行的操作。 当然，系统中还存在不同的角色（可以分配给用户），而将整个系统结合在一起的粘合剂就是访问规则，它连接特定的角色、特定的需要权限的实体和授予的权限。 访问规则可能如下所示：

rule 14: guest role + page name + read permission
rule 46: approver role + add column + execute permission

等等。 我将把 ERD 作为练习留给读者；-) 如果您有疑问，请发表评论。

尤瓦尔=8-)

Answer 4

您可以使用 Restful ACL Rails 插件。

Answer 5

我认为你的问题的答案就如你所愿的那样深入。 如果您碰巧考虑将角色放入组中，然后将组与用户相关联是不够的。 最终，您需要向用户授予对特定对象（论坛、视频等）的特定权限。

我更接近尤瓦尔的答案，我们需要的只是关联项目范围的对象+操作+用户。 提供此； 基础对象（实体）非常有意义。 任何继承自 Entity 的对象都可以通过这种方式轻松地与用户 + 操作关联。

因为您也希望让事情变得简单； 我的建议是；

• 由于 rbac 限制，任何对象都应该派生自基础实体。
• 应该有一个角色列表，这些角色与实体一对一相关。
• 应该有一个用户和角色之间的关系列表。

为了更进一步，我还建议

• 使用基于服务的对象访问（对于自动 rbac）。 那是; 我创建对象存储库（为我执行数据库访问），并通过服务功能访问存储库。
• 我在每个服务函数的开头使用自定义属性。 这定义了访问该功能所需的角色。
• 我使用 User 参数来访问我的所有服务函数，并且每个服务函数在执行自身之前都会进行角色检查。 反射帮助我了解我调用哪个函数，以及它具有什么样的角色（通​​过自定义属性）
• 我还在应用程序启动时运行一个初始化程序，它检查所有函数（及其属性）并查看我是否添加了新的必需角色。 如果我刚刚添加了一个角色并且似乎不在数据库上，它会在数据库上创建它。

但可惜的是，这仅适用于 .NET，据我所知 Java 没有自定义属性，因此它还不太可能适用于 Java。

我想提供一些代码示例，但我懒得这样做。 如果您对我的 rbac 方式有疑问； 你可以在这里提问，我一定会回复。

Answer 6

角色要求与 Restful Authentication 配合得很好，可以提供基于角色的身份验证功能，并且非常适合 -保持。

Answer 7

试试https://github.com/ThoughtWorksStudios/piece，它是一个供您管理用户的规则引擎基于角色的访问控制：

1. 定义访问控制规则
2. 组合规则以构造新规则

您可以在此处找到完整的 Rails 应用程序示例：https ://github.com/xli/piece-blog

Answer 8

对于 .net 应用程序，您应该查看类似 Visual Guard http://www.visual-guard.com/< /a> 以避免从头开始处理权限和角色。

同样对于 .net，您可以通过配置处理成员资格和角色提供程序以及授权。 http://www.odetocode.com/Articles/427.aspx

Answer 9

RBAC 简介 -

基于角色的访问控制系统是一种根据组织用户的角色限制对“某些源或应用程序或应用程序的某些功能”的访问的方法。

这里，限制可以通过多个权限来实现，这些权限是由管理员创建的，用于限制访问，这些权限共同代表一个角色，该角色将被分配给用户。

如果我们进一步深入了解 RBAC，它基本上包含 3 个功能。

1) 身份验证 - 确认用户的身份。 通常它是通过用户帐户和密码或凭据完成的。

2) 授权 - 它定义用户在应用程序中可以做什么和不能做什么。 前任。 允许“修改订单”，但不允许“创建新订单”。

3) 审核用户对应用程序的操作。 - 它跟踪用户对应用程序的操作，以及谁向哪些用户授予了哪些访问权限？

这是 RBAC 系统非常基本的俯视图。

RBAC系统的基本结构可以包含以下组件：
用户、角色、权限或限制、资源。

• 权限或限制——权限代表对以下内容的访问
  应用程序的资源。
• 角色 – 它包含权限的集合
• 用户 – 分配给用户的单个或多个角色，因此最终用户
  通过角色包含权限。

除此之外，如果您想支持复杂的场景，您还可以拥有称为组的用户集合，并且可以将角色分配给组。
这是有关 RBAC 结构的非常基本的信息。

Answer 10

我真的很喜欢这篇博文： https://content.pivotal.io /blog/access-control-permissions-in-rails

编辑：

railscasts 的 ryanb 似乎也有同样的想法，并创建了一个名为 cancan 的 gem https://github.com/ryanb/cancan 使用类似于pivollabs帖子的基本技术。