RBAC 模型

最新推荐文章于 2025-04-02 15:48:26 发布

LiuYuHani

最新推荐文章于 2025-04-02 15:48:26 发布

阅读量1.3k

点赞数 12

文章标签：服务器运维

本文链接：https://blog.youkuaiyun.com/ksn5461378/article/details/143114726

版权

系统权限控制最常采用的访问控制模型就是 RBAC 模型 。

什么是 RBAC 呢？ RBAC 即基于角色的权限访问控制（Role-Based Access Control）。这是一种通过角色关联权限，角色同时又关联用户的授权的方式。

简单地说：一个用户可以拥有若干角色，每一个角色又可以被分配若干权限，这样就构造成“用户-角色-权限” 的授权模型。在这种模型中，用户与角色、角色与权限之间构成了多对多的关系。

在 RBAC 权限模型中，权限与角色相关联，用户通过成为包含特定角色的成员而得到这些角色的权限，这就极大地简化了权限的管理。

为了实现 RBAC 权限模型，数据库表的常见设计如下（一共 5 张表，2 张用户建立表之间的联系）：

通过这个权限模型，我们可以创建不同的角色并为不同的角色分配不同的权限范围（菜单）

通常来说，如果系统对于权限控制要求比较严格的话，一般都会选择使用 RBAC 模型来做权限控制。

2、RBAC0 模型

RBAC0是RBAC系列模型中的基础模型，随后的RBAC系列模型都将按照RBAC0基础模型进行改进。用户与角色的关系有两种设计，如下：

2.1 用户与角色多对一（一个用户只对应一个角色）

1、创建用户的时候选择角色，如下图：

3、RBAC1模型（角色继承）

RBAC1，基于RBAC0的优化，增加了角色的分层（即：子角色），子角色可以继承父角色的所有权限；角色继承的RBAC模型的思路是上层角色继承下层角色的所有权限，并且可以额外拥有其他权限。

4、RBAC2模型（角色约束）
RBAC2引入了角色互斥、基数约束、先决条件约束。角色互斥，一个用户能拥有角色A，就不能拥有角色B，角色A和角色B是互斥的。也可以是权限互斥，权限A和权限B不能在一个角色里。

基数约束，一个角色被分配的用户数量有限；一个用户拥有的角色数量有限；一个角色被分配的权限数量有限；以便控制高级权限在系统中的分配；

先决条件约束，想获得某个上级角色，必须先拥有下级角色。

5、RBAC3模型
RBAC3基于RBAC0，将RBAC1、RABC2进行了整合，是最全面的权限设计模型。其中涉及到的概念有用户组、组织、职位。

1、用户组平台用户多，角色类型增多，有一部分人具有相同的属性。比如生产部的所有员工等，如果直接给这些用户分配角色，就会增加管理员的工作量。如果给这些用户分组，并给用户组分配角色，用户组里的每个用户都具有用户组下的角色。如果用户退出用户组，就撤销用户组下的角色，这样就大大减少了管理员的工作量，无需管理员手动管理角色。用户组又分为具有上下级关系的用户组、普通用户组。具有上下级关系的用户组，和部门、职位关联起来。按照部门和职位对用户进行分组。普通用户组，没有上下级没关系，和部门职位也没有关系。纯粹地对用户进行分组。

2. 组织对于组织结构复杂的公司，可以把组织架构和角色关联起来。一旦把某个人加入某个组织，该用户就会拥有该组织下的所有角色。

Cookie 和 Session 都是用来跟踪浏览器用户身份的会话方式，但是两者的应用场景不太一样。

维基百科是这样定义 Cookie 的：

Cookies 是某些网站为了辨别用户身份而储存在用户本地终端上的数据（通常经过加密）。

简单来说：Cookie 存放在客户端，一般用来保存用户信息。

下面是 Cookie 的一些应用案例：

我们在 Cookie 中保存已经登录过的用户信息，下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了。除此之外，Cookie 还能保存用户首选项，主题和其他设置信息。
使用 Cookie 保存 SessionId 或者 Token ，向后端发送请求的时候带上 Cookie，这样后端就能取到 Session 或者 Token 了。这样就能记录用户当前的状态了，因为 HTTP 协议是无状态的。
Cookie 还可以用来记录和分析用户行为。举个简单的例子你在网上购物的时候，因为 HTTP 协议是没有状态的，如果服务器想要获取你在某个页面的停留状态或者看了哪些商品，一种常用的实现方式就是将这些信息存放在 Cookie
……

我这里以 Spring Boot 项目为例。

（1）设置 Cookie 返回给客户端

@GetMapping("/change-username")
public String setCookie(HttpServletResponse response) {
    // 创建一个 cookie
    Cookie cookie = new Cookie("username", "Jovan");
    //设置 cookie过期时间
    cookie.setMaxAge(7 * 24 * 60 * 60); // expires in 7 days
    //添加到 response 中
    response.addCookie(cookie);

    return "Username is changed!";
}

（2）使用 Spring 框架提供的 @CookieValue 注解获取特定的 cookie 的值

@GetMapping("/")
public String readCookie(@CookieValue(value = "username", defaultValue = "Atta") String username) {
    return "Hey! My username is " + username;
}

（3）读取所有的 Cookie 值

@GetMapping("/all-cookies")
public String readAllCookies(HttpServletRequest request) {

    Cookie[] cookies = request.getCookies();
    if (cookies != null) {
        return Arrays.stream(cookies)
                .map(c -> c.getName() + "=" + c.getValue()).collect(Collectors.joining(", "));
    }

    return "No cookies";
}

更多关于如何在 Spring Boot 中使用 Cookie 的内容可以查看这篇文章：How to use cookies in Spring Boot