rbac對部門模型的許可權控制

來源:互聯網
上載者:User
普通的rbac操作已經大致明白了。但當我建立一個部門的模型時,業務中有多個部門,部門下有多個小組,部門和小組下都有許多的操作。怎麼將這些許可權分開?

這些操作只有一個,但是是通過部門或小組的id來區分不同的部門的。這樣在rbac中如何按id授予許可權呢?

回複內容:

普通的rbac操作已經大致明白了。但當我建立一個部門的模型時,業務中有多個部門,部門下有多個小組,部門和小組下都有許多的操作。怎麼將這些許可權分開?

這些操作只有一個,但是是通過部門或小組的id來區分不同的部門的。這樣在rbac中如何按id授予許可權呢?

RBAC是基於「角色」的,所有的授權對象均為「角色」,而不是其他的部門或者什麼的ID,將這些部門和小組中的人員整理為「角色」,或者建立部門/小組和角色的對應關係,然後進行授權。

假設有部門經理這麼一個角色

  • 在A部門,部門經理操作A部門的事務

  • 在B部門,部門經理操作B部門的事務

如果按照一般的做法,就會設計A部門經理B部門經理兩個角色才可以區分,有點蛋疼。所以我認為,這裡還存在一個操作粒度的問題。

在RBAC模型中,Permission通常的理解是Resource : Operation : Instance,不過我認為其實可以修正為Resource : Operation : Domain,這裡的Domain指得是作用的域,可以是某一個組織(Organization,Department)、某一個範圍(Mine, Others')、某一個執行個體(Instance),每一種Domain都是一種維度,驗證許可權需要在驗證Resource : Operation字串以後需要單獨實現各個維度驗證,貌似目前沒有什麼架構來做哎。

  • 相關文章

    聯繫我們

    該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

    如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

    A Free Trial That Lets You Build Big!

    Start building with 50+ products and up to 12 months usage for Elastic Compute Service

    • Sales Support

      1 on 1 presale consultation

    • After-Sales Support

      24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.