据我所知,在基于角色的访问控制系统(RBAC)中,组织内的角色由角色表示。然后,每个角色都包含在应用程序中执行操作的不同任务(访问权限)。然后,根据组织的工作职责,为组织中的每个用户分配一个或多个角色。
我不明白的是RBAC中是否存在组。我目前正在设计一个系统,可以为用户分配一个或多个角色。然后可以将用户分成一个或多个组(例如,程序员,12楼的人,穿着金属T恤的人,参与国际象棋俱乐部的人等),但这些组不包含任何角色或访问权限。
RBAC中是否存在组?如果是,那么组是否应包含由组成员继承的权限和角色?
答案 0 :(得分:0)
好吧,我不能过多讲述理论方面,但我可以说至少在RBAC实现中我知道这个抽象的“组”可以通过角色之间的继承来实现。意思是,您可以拥有角色prj_A_developers(可以说允许'comit'文件,更改任务管理系统中的问题等),prj_A_testing(比方说,可以将问题更改为特定状态(QA通过/拒绝/重新打开) / etc)等...)。 现在你可以拥有prj_A_admin这个角色,它将是prj_A_testing和prj_A_developers的父级。用户分配此角色将继承此角色的所有子元素 - 无论是其他角色,直接“任务”等。
继承在某种程度上是相反的方向,你习惯于面向对象编程的“继承”概念,但我认为它很清楚。
我认为使用这种继承可以实现这种“群体”概念。