-
UID:12641
-
- 注册时间2013-11-16
- 最后登录2023-11-02
- 在线时间364小时
- 配偶单身
-
-
- 发帖682
- 搜Ta的帖子
- 精华0
- 铜币48325
- 威望621
- 贡献值20
- 银元28073
-
访问TA的空间加好友用道具
- 发帖
- 682
- 铜币
- 48325
- 威望
- 621
- 贡献值
- 20
- 银元
- 28073
|
FtC^5{V+V RBAC权限设计 E1U",CMU xpx\=iAe A6iq[b] 根据人员职级的不同所使用的系统功能不同,当人员使用相同功能时,根据组织机构的不同,看见的数据不同。按照不同的维度,进行权限的划分,而不同。 LRMx<X8 f:.I0 ST 其一基于角色的访问权限控制(RBAC)模型,人员角色来赋值给用户的权限管理,可以分为两大类型:功能权限、数据权限。 rI-%be== _OC<[A 那么现在我们就先按照RBAC来看权限分配。 W1FI mlXS nL.<[]r @[i4^ 一、背景 !o[7wKrXb r_;Nt H&}pkrH~ we?76t:- 在对应系统中每个用户所看见的界面功能和数据不可能都一样,而是根据人员的组织机构和职级不同进行相应的区分。 A7hVHxNJ- =k:,qft2 举个例子: p`#R<K 1q1jZqno 部门经理可见可操作功能‘业务报表’,员工不可见。业务A部门经理在‘业务报表’中只能看见本部门业务A部门的数据。而总经理可在‘业务报表’中,可查看所有部门业务A、B、C、3个部门的数据。这时就需要进行对应的权限分配。 yN
s,Ll~ q,U+qt fLm*1S|%\ 二、RBAC e2W".+B1 _aMPa+D=P 3J438M.ka H_<C!OgR 经典模型RBAC模型是现在权限管理系统的基础,但包括不限于此。根据公司组织架构不同设计有所不同,或2B业务是设计的通用权限划分,RBAC模型可分为:RBAC_0、RBAC_1、RBAC_2、 RBAC_3共4个版本。其他3个模型都是基于RBAC_0演化的。 h@]XBv r s?R:+ 先简述下这4个RBAC模型: l/
; h@WhNk7"xa RBAC_0模型: 权限——角色——用户。ERP系统:后台权限设计 ,tJ"
5O3- A^EE32kbm nSAdCJ;4 图一 =+MPFhvg! ye? 'Ze RBAC_1模型:基于RBAC_0增加了子角色,子角色可继承父角色的所有权限。RBAC_2模型:基于RBAC_0增加了角色互斥,互斥的角色不可同时赋予一个用户账号。RBAC_3模型:结合了RBAC_0、RBAC_1、RBAC_2,目前为更全面更复杂的模型 eSmLf*\G fG w9! 三 、使用场景 8d-t|HkN ;H.^i|_/ p >t#@Eu| 2q4<t:! 基于RBAC来做的权限赋予角色再赋予用户。 M*HnM( zeC
RK+- u21EP[[, 功能权限 *lw_=MXSK @)&=% TLe~y1dwY= PJrtMAcKq 配置每个用户所见及所能操作的功能项不同。 :s6o"VkW g5QZ0Qkj 当在主系统中存在不同子系统时,选定对应子系统将不同的功能项赋予到指定的角色上。 JOLaP@IPT t; {F%9j{ WoRZW% 图二 l.bYE/F0& nl,uuc
*; Yv!a88+A8M 数据权限 fG(SNNl+D QM#4uI55B ]Y8<`;8/ #PQB(=299P 根据组织机构所属部门不同,用户使用相同功能时所能看见的展示数据是不一样的,因根据公司业务情况不同。 aC.~&MxFC #@~+HC= 其一直接套用组织机构进行权限划分,缺点不可配置,无法根据实际业务跨部门查看数据。其二根据组织机构再次进行配置划分数据权限,缺点为每个组织机构都进行数据权限分配。 K8.!_
c 6Yxh9*N~] 6s/& |