1

我有一些与 RBAC(层次模型)有关的问题。以下是场景

假设我有三个角色,一个父角色和三种不同类型的权限

家长角色:分公司经理。 儿童角色:储蓄经理、贷款经理和会计师。 权限:持久化、删除、查看

Q1:一个子角色是否可以由两个或多个角色继承,即假设会计师向储蓄经理和贷款经理报告不同职责的角色 - 例如储蓄经理从会计角色获得高价值储蓄账户客户的报告,贷款经理从会计角色获得报告会计在客户获得的高额贷款中的作用

是否允许这种模式,或者我们是否需要根据他们的职责有储蓄会计师和贷款会计师之类的东西

Q2:如果 Q1 有效,那么我如何拒绝储蓄经理的贷款相关权限(持久贷款、删除贷款、查看贷款详细信息),但允许贷款经理获得储蓄相关权限,反之亦然。

Q3:假设,

会计无权删除储蓄记录 储蓄经理有权删除储蓄记录 贷款经理无权删除储蓄记录

现在银行经理角色会发生什么(未定义删除储蓄记录)。银行经理是否会获得删除储蓄记录的权限。确实允许优先于拒绝或反之亦然,或者我是否需要为此编写规则(要优先)。

还有一些问题我稍后会问

谢谢阿尔伯特·阿鲁尔·普拉卡什

4

1 回答 1

1

允许使用此模型吗?

在基于角色的身份验证中,参与者扮演一个或多个角色。您可以根据自己的喜好将事物分割成角色——是否基于继承对角色进行建模。

你应该用来决定谁担任什么角色的标准是什么

  1. 给予好演员完成工作所需的权力,同时让坏演员拥有最少的过度滥用权力。
  2. 非常适合日志记录,因此可以调查滥用权力
  3. 很容易理解,因此不良行为者无法合理地否认滥用职权的责任
  4. 允许足够的委派,这样管理人员就不会想要共享凭证来完成工作

在设计 RBAC 系统时,您永远不应该违反的唯一规则(除了将权限分配给角色而不是用户)是:参与者不能通过假设的角色数量少于允许的数量来提升权限。被允许担任银行经理和会计师的人如果能够让系统相信他们是会计师而不是银行经理,则他们不应能够行使更多权力,反之亦然。负权限使事情变得非常难以推理并引入奇怪的极端情况——避免它们。

于 2011-12-29T05:14:39.603 回答