我正在开发一个医院管理系统,我可以在其中实施基于角色的访问控制 (RBAC) 和基于声明的访问控制 (CBAC),以便管理员可以决定员工的角色,例如医生、经理、护士。此外,管理员还应该能够限制使用 CBAC 的角色的某些资源,即使该资源在 RBAC 中允许该特定角色使用。管理员还应该能够在不分配任何角色的情况下允许特定用户使用某些资源。
我已经看到这两个都在 ASP.NET Core Identity Framework 中使用。我想做的是,使用 Node.js 和 MongoDB 实现一个非常相似的解决方案。现在自己实现 RBAC 非常简单,但是如何在 RBAC 之上实现 CBAC?
如果有一个或者我遗漏了什么,请向我建议一个替代解决方案。