基于角色的访问控制

基于角色的访问控制，英文是 Role-Based Access Control，简称 RBAC。它通过建立用户与角色的对应关系，使得每个用户可以拥有多个角色，每个角色可以拥有多个权限。基于角色的访问控制会定义多个不同的角色，不同角色实际上就是一个权限的集合。基于角色的访问控制中，不同角色之间具有高低之分，高权限角色可以访问低权限角色的资源，但是低权限角色往往不能访问高权限角色的资源。举个例子，一个教育性质的作业系统中存在老师角色与学生角色，老师角色与学生角色都具有查看作业的权限，但是学生角色不具有审批作业的权限，只有老师角色才具有审批作业的权限，如果学生角色可以进行这个操作，那么可能存在越权访问。同时，基于角色的访问控制遵守最小特权，应该授予所需要的完成其任务的最小角色，这样可以防止用户干坏事。

RBAC 是一种“用户-角色-权限”的授权模型，主要分为 RBAC0 基本模型、RBAC1 角色的分层模型、RBAC2 约束模型、RBAC3 统一模型。其中，RBAC0 是 RBAC 的核心，包括用户、角色、权限和会话。RBAC1 基于 RBAC0 进行扩展，是 RBAC 的角色分层模型，引入角色继承概念。RBAC2 基于 RBAC0 进行扩展，引入互斥角色的限制，互斥角色是指各自权限互相制约的两个角色，此外，还约束一个用户拥有的角色是有限的，一个角色拥有的权限是有限的，以及想要获取较高权限，首先需要拥有一个低级权限。RBAC3 基于 RBAC0 的基础上，将 RBAC1 和 RBAC2 进行整合，因此 RBAC3 是一种既有角色分层又有约束的一种模型。

本文主要基于 RBAC0 基本模型进行介绍“用户-角色-权限”的授权模型。基于角色的访问控制通过建立用户与角色的对应关系，使得每个用户可以拥有多个角色，每个角色可以拥有多个权限。

其中，权限限制了用户所能进行的相关操作。举个例子，一个教育性质的作业系统中存在老师角色与学生角色，学生角色具有查看作业与写作业的权限，老师角色具有查看作业与审批作业的权限，因此具有学生角色的用户是不能进行审批作业的操作。权限可以作用于菜单、API 接口、文件等资源。

在用户量大的情况下，可以对用户进行分组。此时，用户组拥有一个角色，那么用户组内的所有用户都将拥有这个角色。换句话说，引入用户组的概念后，可以建立用户组与角色的对应关系，那么用户组内的所有用户都会间接地与角色发生关系。

在实际业务开发过程，Java 语言中的 Spring Security 与 Apache Shiro 都可以建立基于角色的访问控制。这里，演示了 Spring Security 的权限拦截配置，其中设置不同角色对 URL 地址的访问权限。

@EnableWebMvcSecuritypublic class ApiSecurityConfig {    @Override    protected void onConfigure(HttpSecurity http) throws Exception {        http.authorizeRequests()            // 匹配"/students/**"的所有 GET 操作，无需要任何身份认证            .antMatchers(HttpMethod.GET, "/students/**").permitAll()            // 匹配"/students/**"的所有 POST 操作，需要用户拥有 teacher 角色            .antMatchers(HttpMethod.POST, "/students/**").hasAuthority("teacher")            // 匹配"/students/**"的所有（其他）操作，需要用户拥有 admin 角色            .antMatchers("/students/**").hasAnyAuthority("admin");            // 其他的 URL 地址均需要加身份认证            .antMatchers("/**").anonymous().anyRequest().authenticated();    }    @Override    public void configure(WebSecurity web) throws Exception {    }}

总结下，基于角色的访问控制，通过建立用户与角色的对应关系，使得每个用户可以拥有多个角色，每个角色可以拥有多个权限。用户根据拥有的角色进行操作与资源访问。

更多相关文章

随机推荐