RBAC模型概述

RBAC模型（Role-Based Access Control：基于角色的访问控制）模型是20世纪90年代研究出来的一种新模型，但其实在20世纪70年代的多用户计算时期，这种思想就已经被提出来，直到20世纪90年代中后期，RBAC才在研究团体中得到一些重视，并先后提出了许多类型的RBAC模型。

RBAC模型组成

在RBAC模型里面，有3个基础组成部分，分别是：用户、角色和权限（资源、菜单）。

RBAC通过定义角色的权限（资源、菜单），并对用户授予某个角色从而来控制用户的权限（资源、菜单），实现了用户和权限（资源、菜单）的逻辑分离，极大地方便了权限（资源、菜单）的管理。

他们三者的关系，如下

RBAC支持的安全原则

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则

• 最小权限原则：RBAC可以将角色配置成其完成任务所需的最小权限集合
• 责任分离原则：可以通过调用相互独立互斥的角色来共同完成敏感的任务，例如要求一个计账员和财务管理员共同参与统一过账操作
• 数据抽象原则：可以通过权限的抽象来体现，例如财务操作用借款、存款等抽象权限，而不是使用典型的读、写、执行权限

RBAC的优缺点

（1）优点：

• 简化了用户和权限的关系
• 易扩展、易维护

（2）缺点：

• RBAC模型没有提供操作顺序的控制机制，这一缺陷使得RBAC模型很难适应哪些对操作次序有严格要求的系统

RBAC权限的功能分析

 RBAC权限模型数据库设计