這些操作只有一個,但是是通過部門或小組的id來區分不同的部門的。這樣在rbac中如何按id授予許可權呢?
普通的rbac操作已經大致明白了。但當我建立一個部門的模型時,業務中有多個部門,部門下有多個小組,部門和小組下都有許多的操作。怎麼將這些許可權分開?
這些操作只有一個,但是是通過部門或小組的id來區分不同的部門的。這樣在rbac中如何按id授予許可權呢?
RBAC是基於「角色」的,所有的授權對象均為「角色」,而不是其他的部門或者什麼的ID,將這些部門和小組中的人員整理為「角色」,或者建立部門/小組和角色的對應關係,然後進行授權。
假設有部門經理這麼一個角色
在A部門,部門經理操作A部門的事務
在B部門,部門經理操作B部門的事務
如果按照一般的做法,就會設計A部門經理和B部門經理兩個角色才可以區分,有點蛋疼。所以我認為,這裡還存在一個操作粒度的問題。
在RBAC模型中,Permission通常的理解是Resource : Operation : Instance,不過我認為其實可以修正為Resource : Operation : Domain,這裡的Domain指得是作用的域,可以是某一個組織(Organization,Department)、某一個範圍(Mine, Others')、某一個執行個體(Instance),每一種Domain都是一種維度,驗證許可權需要在驗證Resource : Operation字串以後需要單獨實現各個維度驗證,貌似目前沒有什麼架構來做哎。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
