>백엔드 개발 >PHP 튜토리얼 >rbac对部门模型的权限控制

rbac对部门模型的权限控制

WBOY
WBOY원래의
2016-06-06 20:27:151650검색

普通的rbac操作已经大致明白了。但当我创建一个部门的模型时,业务中有多个部门,部门下有多个小组,部门和小组下都有许多的操作。怎么将这些权限分开?

这些操作只有一个,但是是通过部门或小组的id来区分不同的部门的。这样在rbac中如何按id授予权限呢?

回复内容:

普通的rbac操作已经大致明白了。但当我创建一个部门的模型时,业务中有多个部门,部门下有多个小组,部门和小组下都有许多的操作。怎么将这些权限分开?

这些操作只有一个,但是是通过部门或小组的id来区分不同的部门的。这样在rbac中如何按id授予权限呢?

RBAC是基于「角色」的,所有的授权对象均为「角色」,而不是其他的部门或者什么的ID,将这些部门和小组中的人员整理为「角色」,或者创建部门/小组和角色的对应关系,然后进行授权。

假设有部门经理这么一个角色

  • 在A部门,部门经理操作A部门的事务

  • 在B部门,部门经理操作B部门的事务

如果按照一般的做法,就会设计A部门经理B部门经理两个角色才可以区分,有点蛋疼。所以我认为,这里还存在一个操作粒度的问题。

在RBAC模型中,Permission通常的理解是Resource : Operation : Instance,不过我认为其实可以修正为Resource : Operation : Domain,这里的Domain指得是作用的域,可以是某一个组织(Organization,Department)、某一个范围(Mine, Others')、某一个实例(Instance),每一种Domain都是一种维度,验证权限需要在验证Resource : Operation字符串以后需要单独实现各个维度的验证,貌似目前没有什么框架来做哎。

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.