我有一些与RBAC(雇用模型)有关的问题。以下是场景
假设我有三个角色,一个父角色和三种不同类型的权限
父级角色:分支经理。 儿童角色:储蓄经理,贷款经理和会计师。 权限:保留,删除,查看
Q1:子角色是否可以由两个或多个角色继承 即假设角色会计师向具有不同职责的储蓄经理和贷款经理报告 - 例如储蓄经理从高价值储蓄账户的客户角色获得报告客户和贷款经理获得客户高价值贷款的会计角色报告
是否允许这种模式,或者我们是否需要根据其职责获得储蓄会计师和贷款会计师
Q2:如果Q1有效,那么我如何拒绝贷款相关权限(持续贷款,删除贷款,查看贷款详情)给储蓄经理但允许贷款经理,反之亦然节省相关许可。
Q3:假设,
会计师无权删除储蓄记录 储蓄经理有权删除储蓄记录 贷款经理无权删除储蓄记录
现在银行经理角色会发生什么(删除储蓄记录未定义)。 银行经理是否会获得删除储蓄记录的许可。 允许优先于拒绝,反之亦然,或者我是否需要编写相同的规则(前面的规则)。
我还会问一些其他问题
由于 Albert Arul Prakash
答案 0 :(得分:1)
是否允许此模型?
在基于角色的身份验证中,actor扮演一个或多个角色。您可以根据需要将事物分解为角色 - 根据继承建模角色。
您应该使用哪些标准来决定谁具有哪些角色
设计一个你永远不应该违反的RBAC系统的唯一规则(除了为角色而不是用户分配权限之外)是这样的:一个参与者不能通过假设角色少于允许的角色来升级特权。被允许担任银行经理和会计师的人如果能说服系统他们是会计师但不是银行经理,反之亦然,则不应该行使更多权力。负面的权限使事情很难推理并引入奇怪的角落案例 - 只是避免它们。