RBAC----基于角色的访问权限控制

RBAC是什么？

基于角色的权限访问控制（Role-Based Access Control） 作为传统访问控制（自主访问、强制访问）的有前景的代替 受到了广泛的关注。

在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。极大地简化了权限的管理。

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则、数据抽象原则。

（1）因为RBAC可以将用户的角色配置成用户完成任务所需的最小的权限集。

（2）可以通过调用相互独立互斥的角色来共同完成敏感的任务。

（3）通过权限的抽象来体现数据抽象原则。eg：财务操作借款、存款等抽象权限，而不实际操作 系统提供的读、写、执行权限。

RBAC的关注点在于 Role和User、Permission的关系。

　　成为User assignment（UA）和 permission assignment（PA）关系的左右两边都是Many-to-Many关系。即多对多关系。

session在RBAC中是比较隐晦的一个元素。每一个session是一个映射，一个用户到多个role的映射。当一个用户激活他所有角色的一个子集的时候，建立一个session。每个session和单个的user关联，并且每个user可以关联到一个或者多个session。

Group概念

　　在RBAC系统中，User实际上在扮演角色（Role）,可以用Actor来取代User。同时RBAC引入了Group概念。Group可以看做Actor。User就对应到具体的一个人。引入的Group概念，可以解决多人相同角色，还可以解决组织机构的授权问题。（RBAC中的Group与GBAC中的Group不同：GBAC多用于操作系统中，他的Group直接和权限相关联，实际上RBAC也借鉴了GBAC的一些概念。）

RBAC认为授权实际就是who,what,how三者之间的关系

　　即who对what进行how的操作。

　　Who,权限的拥用者或主体（如Principal、User、Group、Role、Actor等等）；

　　what,权限针对的对象或资源（Resource、Class） ；

　　How,具体的权限（Privilege,正向授权与负向授权）。

　　即我们通过给角色授权，然后将附有权利的角色施加到某个用户身上，这样用户就可以实施相应的权利了。通过中间角色的身份，是权限管理更加灵活：角色的权利可以灵活改变，用户的角色的身份可以随着场所的不同而发生改变等。这样这套RBAC就几乎可以运用到所有的权限管理的模块上了。

RBAC模型分类