RBAC（Role-Based Access Control，基于角色的訪問(wèn)控制），就是用戶通過(guò)角色與權(quán)限進(jìn)行關(guān)聯(lián)。簡(jiǎn)單地說(shuō)，一個(gè)用戶擁有若干角色，每一個(gè)角色擁有若干權(quán)限。這樣，就構(gòu)造成“用戶-角色-權(quán)限”的授權(quán)模型。

在這種模型中，用戶與角色之間，角色與權(quán)限之間，一般都是多對(duì)多的關(guān)系。

角色是什么？可以理解為一定數(shù)量的權(quán)限的集合，權(quán)限的載體。例如：一個(gè)論壇系統(tǒng)，“超級(jí)管理員”、“版主”都是角色。版主可管理版內(nèi)的帖子、可管理版內(nèi)的用戶等，這些是權(quán)限。要給某個(gè)用戶授予這些權(quán)限，不需要直接將權(quán)限授予用戶，可將“版主”這個(gè)角色賦予該用戶。

當(dāng)用戶的數(shù)量非常大時(shí)，要給系統(tǒng)每個(gè)用戶逐一授權(quán)（授角色），是件非常煩瑣的事情。這時(shí)，就需要給用戶分組，每個(gè)用戶組內(nèi)有多個(gè)用戶。除了可給用戶授權(quán)外，還可以給用戶組授權(quán)。這樣一來(lái)，用戶擁有的所有權(quán)限，就是用戶個(gè)人擁有的權(quán)限與該用戶所在用戶組擁有的權(quán)限之和。

在應(yīng)用系統(tǒng)中，權(quán)限表現(xiàn)成什么？對(duì)功能模塊的操作，對(duì)上傳文件的刪改，菜單的訪問(wèn)，甚至頁(yè)面上某個(gè)按鈕、某個(gè)圖片的可見性控制，都可屬于權(quán)限的范疇。有些權(quán)限設(shè)計(jì)，會(huì)把功能操作作為一類，而把文件、菜單、頁(yè)面元素等作為另一類，這樣構(gòu)成“用戶-角色-權(quán)限-資源”的授權(quán)模型。而在做數(shù)據(jù)表建模時(shí)，可把功能操作和資源統(tǒng)一管理，也就是都直接與權(quán)限表進(jìn)行關(guān)聯(lián)，這樣可能更具便捷性和易擴(kuò)展性。

RBAC權(quán)限設(shè)計(jì)：

權(quán)限設(shè)計(jì)_20180905120009.png

一張圖搞定RBAC用戶權(quán)限設(shè)計(jì)：

RBAC用戶權(quán)限.png