设计支持关系的基于角色的访问控制

Question

我正在为访问控制系统设计一个数据库模型，该模型部分基于角色，但是确实需要一些访问列表功能和关系访问。

我正在为学校构建一个Web应用程序（如果有问题的话，请使用PHP和MVC架构）来管理学生，教师，教职员工和管理人员之间的互动，例如老师奖励学生或其中一名招收或删除学生的员工。我的主要问题是要求我： 1-为每个用户提供可选的额外权限，而不是已经从其角色/角色继承的用户。 （=>访问列表） 2-提供一种简单的方法，使每学期将某些学生与某些学生进行匹配，这意味着一位老师应该能够给参加他所教课程的学生打分，而对其他班级的其他学生则不能打分，并且该班级的变化过于频繁（两个月之间每次更改）。

我正在考虑实现一个基于标准角色的系统，为每个用户添加一个额外的表以获得额外的权限，并在权限中添加一个名为scope的额外字段，该字段可以选择填充另一个表的名称（此操作由应用程序完成， db），其中包含连接列表。例如，一个老师可以拥有一个老师控制器：'评分'->方法'新分数'->范围：'课程用户'，这意味着我在“课程用户”表中搜索教师ID和其他任何用户ID相同的课程编号，并授予老师许可，以便与老师分享课程编号的任何学生提交新分数。这是我的模特：

这是正确的方法吗？我应该为每个新的共享连接创建一个新表还是将它们全部放在一个表中？非常感谢您对此标准解决方案的帮助或至少提供的指导。

Answer 1

您不应该为访问控制实现数据库模型。您的数据库模型应具有您关心的对象（学生，教师，班级...）。其余应在外部授权模型中表示为策略。这称为基于属性的访问控制 abac。也称为基于策略的访问控制（PBAC）。不同的名字，同一件事。

在ABAC中，您一方面具有属性（数据库模型中表的字段，例如用户名，角色，课程年份...），另一方面具有策略。例如：

• 老师可以在所教课程中编辑学生的成绩
• 学生可以查看自己的成绩
• 学生可以查看所属课程的课程材料

所有这些都是（业务）授权策略的示例。

在ABAC中，您将拥有一个用于评估授权策略的策略决策点（PDP）和一个用于拦截业务请求并将授权请求发送给PDP的策略执行点（PEP）的概念。例如：

• 爱丽丝学生可以查看＃123年级吗？
• 老师Bob可以查看学生Alice的个人资料吗？

PDP会回复PEP必须执行的决定，即“允许”或“拒绝”。您提到您的应用程序具有MVC模型。您的PEP可能是控制器层中的拦截器或注释。

有几种ABAC语言及其实现：

• 开源：
  • 基于Rego语言的开放策略代理
  • 基于XACML标准的AuthZForce。
• 闭源：基于XACML和ALFA标准的公理政策服务器。