问题标签 [rbac]

为 jFramework 实现了 NIST Level 2 RBAC，核心 SQL 如下：

这是为了检查某个用户是否有一定的权限，并且可以工作。我想知道它是否可以优化，因为它在应用程序中非常频繁地使用并且被严重依赖。

型号为：

请记住，角色和权限表都是分层的。所以如果某人有一个角色，他/她也有所有的后代角色。

如果某人拥有权限，他/她也拥有所有后代权限。

谁能帮我？我知道这是一个巨大的，我会放大赏金。

是否有人在 App Engine 中部署的基于 GWT 的项目中使用了某些RBAC （或其他访问控制）？
或者实际上如何管理基于角色的 GWT-RPC 调用？

还是仅根据用户的登录凭据将代码“发送”到客户端浏览器更容易？

想法，图书馆，都欢迎！

谢谢

从我从本文中读到的内容中， 我了解到基于角色的访问控制系统是一种用户可以分配给角色的角色，其中角色指定对对象执行操作的权限但是在 asp.net 中，我们没有指定“对对象的操作”，我的意思是我们如何指定“角色 R 中的所有用户都可以对对象 O 执行删除”ASP.Net 中的对象部分在哪里

在 Yii 中，有一个 accessControl 过滤器和一个 accessRules 方法来处理对某些任务的简单授权。在我的应用程序中，我有 RBAC 来授权用户进入角色。

我的问题是除了 RBAC 之外，我还应该使用 accessControl 过滤器和 accessRules 方法，还是可以删除它们并专门使用 RBAC？

我最近从传统的 ASP.Net 基于 Web 表单的开发迁移到 MVC2，我一直在寻找 MVC 可以用来创建长期可维护 Web 解决方案的最佳实践和规范。

我已经实现了身份验证和 RBAC（基于角色的访问）。过去我使用简单的静态 RBAC 来避免复杂性，但现在使用 MVC，我希望有更好的选择和对传统方法的更多控制。成员资格 API 一直是 ASP.Net 安全性的默认设置，但它需要许多 DB 对象，而且它也没有简单的方法来更改其行为，例如向 User 添加属性或覆盖其某些默认功能。

总而言之，过去我不得不避免使用 Membership API 并使用我自己的简单用户服务层方法来实现简单的安全性和 RBAC。我有页面级别的访问控制，我从派生所有 Web 表单页面的基类 (Pagebase) 中处理它。我只需要传递一些角色参数来配置页面的安全性。我们的用户和角色维护非常简单，我不需要安全问题、哈希密码、盐等。至少到现在为止。

现在，使用 MVC - 我需要与中央控制类似的东西。我可以拥有控制器级别和/或操作级别授权（[Authorize] 或我的自定义）。我可以部署“授权过滤器”（如操作过滤器）。我也想选择动态 RBAC。我想使用会员功能，但我不想要它的表格并避免上面提到的其他额外内容。

基于静态成员 API 的方法：基于角色的安全性 asp.net mvc

我了解到，我可以覆盖 Membership 提供程序以及 Role Provider来获得对后台处理的完全控制，并利用位于其之上的 Membership API 和 RBAC 的功能。

例如，

自定义会员提供者

• http://www.codeproject.com/KB/aspnet/CustomMembershipProviders.aspx
• http://mattwrock.com/post/2009/10/14/Implementing-custom-Membership-Provider-and-Role-Provider-for-Authinticating-ASPNET-MVC-Applications.aspx

实现角色提供者

• http://msdn.microsoft.com/en-us/library/8fw7xh74.aspx
• http://msdn.microsoft.com/en-us/library/tksy7hd7.aspx

我一路走来，我想确保我走在正确的道路上，并且该方法将逐渐引导我使用动态 RBAC，我可以将其公开给管理员级别的用户以配置 RBAC。这是我的要求-

1. 我希望在 MVC 中使用 Membership API 是值得的，并允许我覆盖它的默认实现。
2. 我不想要任何额外的桌子。我想将其保留在最小的用户/角色表中，而没有不需要的特殊字段。
3. 我可以使用自己的服务层方法来访问和管理数据库中的表 - 没有成员资格默认值。
4. 如果太复杂，我现在可以使用静态 RBAC，但将来我想要一个动态 RBAC。
5. 我倾向于使用 Membership API 只是因为我看到它可以提供有用的属性，否则我必须自己部署。
6. 希望它不会变得混乱，遵循我的 DAL/服务层并允许控制器级别和操作级别 RBAC。

请指导我并分享您的建议。

编辑 1： 我从 SO 中找到了更多：（说要推出我们自己的）

• 您正在使用哪些身份验证和授权方案 - 为什么？
• ASP.NET MVC - 角色提供者的替代品？

我需要有关在现有 JSF 1.2 应用程序中实现基于角色的访问控制的建议。

以下是我的一些限制：

1. 卡在 JSF 1.2 上，无法升级到更高版本
2. 没有自定义解决方案，尽管编写一些东西来集成到现有的 API 或框架（Spring Security？任何其他？）应该没问题。

我有一个应用程序在 UI 端使用 Flex 3 和 java @ 服务层以及 BlazeDS 进行编码。现在我们需要根据在数据库中为他们定义的角色授权访问系统的用户，例如：假设角色为 guest 的用户不应该能够访问 ui 上的 Admin 选项卡，也不应该做任何事情除了查看仪表盘上显示的数据之外的其他操作。另外需要注意的是，超级用户可以从 UI 动态创建角色。

我遇到了这个链接，它描述了如何执行基于角色的身份验证和授权

使用这种方法，我需要在 service-config.xml 中定义角色，但由于我的角色不是预定义的，所以我不能这样做。

有没有人遇到过类似的情况。任何指针都会有很大帮助。

根据我的研究，我认为这是不可能的，但我想确定一下。是否可以通过 accessRules 将参数传递给 RBAC bizRule。现在我需要在允许他们编辑/删除帖子之前检查某人是否是帖子所有者（以及其他检查）。所以我需要比较 bizRule 中的 owner_id 来验证这一点，Yii::app()->user->id == param['owner_id']但我认为我不能使用 accessRules 传递该参数？或者我可以吗？

我正在为我的工作中的 Web 应用程序寻找基于角色的身份验证。我们使用coldfusion，它似乎没有制作任何好的rbac库，所以我们可能不得不从头开始制作。

查看示例数据模型，对象与权限相关联。

http://www.mind-it.info/2010/01/09/nist-rbac-data-model/

它看起来像是对象和权限之间的一对多关系，这是有道理的。

但是，我想知道这些“对象”应该是抽象的还是具体的？

我们的系统将有一些有限类型的对象；例如，让我们说“新闻”、“事件”和“专辑”。权限和角色很可能归属于这些类型，因为任何这些类型的所有对象实例都需要不同角色的相同权限和可访问性。

在我查看的示例中，在我看来，对象的每个实例都附加到权限。如果是这种情况，我在这种类型的系统中看到很多开销......

所以，我想知道这些“对象”是否实际上是与角色关联的抽象对象类型，或者这些“对象”是否是实际的对象实例本身？（或者，如果 rbac 模型允许任一实现......）

谢谢！

我现在正在使用 PHP+MySQL，但真的可以采用任何工具。

我有一个大约有 50000 个用户的系统，这些用户按组排列，按部门排列，再按组织排列。

我的系统内容包中有。每个包都有特定的权限。即每个包都是

1. 公共（世界），
2. 财团（所有注册到我的系统）
3. 私有（可以单用户+组+部门+组织任意组合访问）

为了使事情变得更难，每个内容都可能有一个先决内容，这意味着您不能在学习内容 A 之前学习内容 B（大学课程......）。

我想知道如何管理它，现在每件事都在 MySQL 中并且工作正常，只是每次我创建具有先决条件的内容时，我必须能够仅选择那些具有更宽松访问权限的内容片段作为先决条件，这意味着我在系统中拥有的每一块都需要进行大量计算（我有几千个）。

现在，想象一下我有依赖于 B 的内容 c 依赖于 A...
我向每个用户显示的目录是什么？想象当用户搜索整个系统时我必须为每个内容块做的计算。

任何已经这样做的方向/建议/已知系统？