转载地址:http://www.woshipm.com/pd/440765.html
我们在做任何一款产品的时候,或多或少都会涉及到用户和权限的问题。譬如,做企业类软件,不同部门、不同职位的人的权限是不同的;做论坛类产品的时候,版主和访客权限也是不一样的;再例如一款产品的收费用户和免费用户权限也是迥然不同的。
但在设计产品的用户和权限的关系的时候,很多产品经理可能按照感觉来,在并不清楚用户和权限是否存在优秀的理论模型的时候,就按照自我推理搭建了产品的用户和权限模型。而这种基于感觉和推理的模型肯定是有诸多问题的,譬如写死了关系导致权限不够灵活、考虑不周导致权限覆盖能力弱等等。
正如牛顿所言,站在巨人的肩膀上才能看的更远。我们不妨去参照已有的比较成熟的权限模型,如:RBAC(Role-Based Access Control)——基于角 {MOD}的访问控制。我搜集了网上很多关于RBAC的资料,大多与如何用数据表实现RBCA相关,并不容易理解。所以,我会以产品经理的角度去解析RBAC模型,并分别举例如何运用这套已得到验证的成熟模型。
RBAC0是基础,很多产品只需基于RBAC0就可以搭建权限模型了。在这个模型中,我们把权限赋予角 {MOD},再把角 {MOD}赋予用户。用户和角 {MOD},角 {MOD}和权限都是多对多的关系。用户拥有的权限等于他所有的角 {MOD}持有权限之和。
举例:
譬如我们做一款企业管理产品,如果按传统权限模型,给每一个用户赋予权限则会非常麻烦,并且做不到批量修改用户权限。这时候,可以抽象出几个角 {MOD},譬如销售经理、财务经理、市场经理等,然后把权限分配给这些角 {MOD},再把角 {MOD}赋予用户。这样无论是分配权限还是以后的修改权限,只需要修改用户和角 {MOD}的关系,或角 {MOD}和权限的关系即可,更加灵活方便。此外,如果一个用户有多个角 {MOD},譬如王先生既负责销售部也负责市场部,那么可以给王先生赋予两个角 {MOD},即销售经理+市场经理,这样他就拥有这两个角 {MOD}的所有权限。
RBAC1建立在RBAC0基础之上,在角 {MOD}中引入了继承的概念。简单理解就是,给角 {MOD}可以分成几个等级,每个等级权限不同,从而实现更细粒度的权限管理。
举例:
基于之前RBAC0的例子,我们又发现一个公司的销售经理可能是分几个等级的,譬如除了销售经理,还有销售副经理,而销售副经理只有销售经理的部分权限。这时候,我们就可以采用RBAC1的分级模型,把销售经理这个角 {MOD}分成多个等级,给销售副经理赋予较低的等级即可。
RBAC2同样建立在RBAC0基础之上,仅是对用户、角 {MOD}和权限三者之间增加了一些限制。这些限制可以分成两类,即静态职责分离SSD(Static Separation of Duty)和动态职责分离DSD(Dynamic Separation of Duty)。具体限制如下图:
举例:
还是基于之前RBAC0的例子,我们又发现有些角 {MOD}之间是需要互斥的,譬如给一个用户分配了销售经理的角 {MOD},就不能给他再赋予财务经理的角 {MOD}了,否则他即可以录入合同又能自己审核合同;再譬如,有些公司对角 {MOD}的升级十分看重,一个销售员要想升级到销售经理,必须先升级到销售主管,这时候就要采用先决条件限制了。
举例:
这个就不举例了,统一模型RBAC3可以解决上面三个例子的所有问题。当然,只有在系统对权限要求非常复杂时,才考虑使用此权限模型。
举例:
譬如,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角 {MOD},使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角 {MOD}权限。
一、RBAC模型是什么?
RBAC是一套成熟的权限模型。在传统权限模型中,我们直接把权限赋予用户。而在RBAC中,增加了“角 {MOD}”的概念,我们首先把权限赋予角 {MOD},再把角 {MOD}赋予用户。这样,由于增加了角 {MOD},授权会更加灵活方便。在RBAC中,根据权限的复杂程度,又可分为RBAC0、RBAC1、RBAC2、RBAC3。其中,RBAC0是基础,RBAC1、RBAC2、RBAC3都是以RBAC0为基础的升级。我们可以根据自家产品权限的复杂程度,选取适合的权限模型。
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','https://www.xiaopingtou.cn//data/attach/topic/topicKPo7gB.jpg', '推荐 飞雪横行 的文章《RBAC权限管理模(转载)》','https://www.xiaopingtou.net/article-53788.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
二、基本模型RBAC0
解析:RBAC0是基础,很多产品只需基于RBAC0就可以搭建权限模型了。在这个模型中,我们把权限赋予角 {MOD},再把角 {MOD}赋予用户。用户和角 {MOD},角 {MOD}和权限都是多对多的关系。用户拥有的权限等于他所有的角 {MOD}持有权限之和。
举例:譬如我们做一款企业管理产品,如果按传统权限模型,给每一个用户赋予权限则会非常麻烦,并且做不到批量修改用户权限。这时候,可以抽象出几个角 {MOD},譬如销售经理、财务经理、市场经理等,然后把权限分配给这些角 {MOD},再把角 {MOD}赋予用户。这样无论是分配权限还是以后的修改权限,只需要修改用户和角 {MOD}的关系,或角 {MOD}和权限的关系即可,更加灵活方便。此外,如果一个用户有多个角 {MOD},譬如王先生既负责销售部也负责市场部,那么可以给王先生赋予两个角 {MOD},即销售经理+市场经理,这样他就拥有这两个角 {MOD}的所有权限。
三、角 {MOD}分层模型RBAC1
解析:RBAC1建立在RBAC0基础之上,在角 {MOD}中引入了继承的概念。简单理解就是,给角 {MOD}可以分成几个等级,每个等级权限不同,从而实现更细粒度的权限管理。
举例:
基于之前RBAC0的例子,我们又发现一个公司的销售经理可能是分几个等级的,譬如除了销售经理,还有销售副经理,而销售副经理只有销售经理的部分权限。这时候,我们就可以采用RBAC1的分级模型,把销售经理这个角 {MOD}分成多个等级,给销售副经理赋予较低的等级即可。
四、角 {MOD}限制模型RBAC2
解析:RBAC2同样建立在RBAC0基础之上,仅是对用户、角 {MOD}和权限三者之间增加了一些限制。这些限制可以分成两类,即静态职责分离SSD(Static Separation of Duty)和动态职责分离DSD(Dynamic Separation of Duty)。具体限制如下图:
举例:
还是基于之前RBAC0的例子,我们又发现有些角 {MOD}之间是需要互斥的,譬如给一个用户分配了销售经理的角 {MOD},就不能给他再赋予财务经理的角 {MOD}了,否则他即可以录入合同又能自己审核合同;再譬如,有些公司对角 {MOD}的升级十分看重,一个销售员要想升级到销售经理,必须先升级到销售主管,这时候就要采用先决条件限制了。
五、统一模型RBAC3
解析: RBAC3是RBAC1和RBAC2的合集,所以RBAC3既有角 {MOD}分层,也包括可以增加各种限制。
举例:
这个就不举例了,统一模型RBAC3可以解决上面三个例子的所有问题。当然,只有在系统对权限要求非常复杂时,才考虑使用此权限模型。
六、基于RBAC的延展——用户组
解析: 基于RBAC模型,还可以适当延展,使其更适合我们的产品。譬如增加用户组概念,直接给用户组分配角 {MOD},再把用户加入用户组。这样用户除了拥有自身的权限外,还拥有了所属用户组的所有权限。
举例:譬如,我们可以把一个部门看成一个用户组,如销售部,财务部,再给这个部门直接赋予角 {MOD},使部门拥有部门权限,这样这个部门的所有用户都有了部门权限。用户组概念可以更方便的给群体用户授权,且不影响用户本来就拥有的角 {MOD}权限。