理工酷

RABC模型

RBAC模型通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。 RBAC的关注点在于Role和User的关系，即用户角色分配(User Assignment,UA)，以Role和Permission的关系，即角色许可分配(PermissionAssignment, PA)。两个关系都是多对多关系。对多对多的关系需要一个中间表来保存两个对象的关系，因此UA和PA就相当于中间表。 事实上，整个RBAC都是基于关系模型的。

• 用户表：操作系统的实际用户表，存储用户的基本 信息，如账户、姓名、密码等 。
• 角色表：根据用户的不同工作岗位划分为不同的职 责，在系统中映射为不同的角色。
• 权限表：不同的权限可操作的资源集合。
• 用户到角色映射表：用户和角色对应关系表。
• 角色到权限映射表：角色的权限对应关系表。

RABC基本原理

• Who：权限的拥用者或主体（如User、Role、 Group等等）。
• What：权限针对的对象或资源（Resource、 Class）。
• How：具体的权限（Privilege,正向授权与负向授权）。
• Operator：操作。表明对What的How操作。也就 是Privilege + Resource。

RABC特点

• 由于角色/权限之间的变化比角色/用户关系 之间的变化相对要慢得多，减小了授权管理 的复杂性，降低管理开销。
• 灵活地支持企业的安全策略，并对企业的变 化有很大的伸缩性。