我了解在基于角色的访问控制系统 (RBAC) 中,组织内的角色由角色表示。然后,每个角色都包含不同的任务(访问权限)以在应用程序中执行操作。然后根据其工作职责为组织中的每个用户分配一个或多个角色。
我不明白的是 RBAC 中是否存在组。我目前正在设计一个可以为用户分配一个或多个角色的系统。然后可以将用户分为 1 个或多个组(例如,程序员、12 楼的人、穿着金属 T 恤的人、国际象棋俱乐部的成员等),但这些组不包含任何角色或访问权限。
RBAC 中是否存在组?如果是这样,组是否应该包含由组成员继承的权限和角色?
好吧,我不能过多地谈论理论方面,但我可以说,至少对于我知道的 RBAC 实现,这个抽象的“组”可以使用角色之间的继承来实现。意思是,您可以拥有角色 prj_A_developers(可以说可以“提交”文件,更改任务管理系统中的问题等),prj_A_testing(可以说,可以将问题更改为某些状态(QA 通过/拒绝/重新打开) /等),等等...)。现在您可以拥有 prj_A_admin,它是 prj_A_testing 和 prj_A_developers 的父角色。用户分配的此角色将继承此角色的所有子元素 - 无论是其他角色、直接“任务”等。
继承有点相反,因为您习惯于面向对象编程的“继承”概念,但我认为它仍然很清楚。
我认为使用这种继承可以实现这个“组”概念。