论坛首页 入门技术论坛

推荐一篇不错的权限管理综述的文章

浏览 10678 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2009-10-07   最后修改:2009-10-07
前几天没事在网上搜权限的文章,找到一篇文章见附件,稍微浏览了一下觉得很不错,特别是对像我一样权限管理有一些了解但还没形成系统的朋友,我觉得会有不少帮助。但是这片文章是个working draft,我没找到出处。希望有牛人把正式版的搜出来(不过不一定有,这个draft貌似是20090826的日期),^_^
如果这个看完还不过瘾的话,当然是再结合RBAC(<Role-based Access Control>)看看啦。


我去查资料的原因是我觉得论坛中常提到的“数据权限”的说法以及ACL概念的滥用令我困惑,文中提到的ABAC应该能更好的阐述这个概念把?

另外我觉得RBAC中的role着重的是对permission做抽象,包括他的rbac0,rbac1,rbac2,rbac3都是在这方面做文章,而在另一头的subject及user上缺少足够的变化。


btw,新手请教:除了山头多出一倍,圈子和论坛还有咩区别?

   发表时间:2009-10-07  
不错。
谢谢了。
0 请登录后投票
   发表时间:2009-10-08  
我去查资料的原因是我觉得论坛中常提到的“数据权限”的说法以及ACL概念的滥用令我困惑,文中提到的ABAC应该能更好的阐述这个概念把?

另外我觉得RBAC中的role着重的是对permission做抽象,包括他的rbac0,rbac1,rbac2,rbac3都是在这方面做文章,而在另一头的subject及user上缺少足够的变化。


请问 这个 "文中提到的ABAC" 和 "我觉得RBAC中的" 是一个东西吗??
不过还是不明白你哪不懂?
0 请登录后投票
   发表时间:2009-10-08   最后修改:2009-10-08
whaosoft 写道

请问 这个 "文中提到的ABAC" 和 "我觉得RBAC中的" 是一个东西吗??
不过还是不明白你哪不懂?

RBAC和ABAC当然不是一个东西,
打个比方,RBAC是静态编译,ABAC就是动态编联。RBAC是静态语言,ABAC就是表达能力更强的动态语言。
RBAC中最核心的Role概念是“一组权限(Permission) ”的集合,这样就提升对权限的概括能力,从而获得了比ACL更好的表达多种安全策略的能力。
但是实际上还有很多东西不仅需要对权限进行更好的概括,随便举个例子:“只有工龄大于3年的老员工才能申请高工”。
仅仅用RBAC是搞不定的,第一对这个“申请高工”的权限进行抽象形成一个角色意义看起来也不是很大;第二,我们需要表达“工龄大于3年的老员工”的能力,这实际上是对User/Subject的一种概括。
而ABAC就是这种比RBAC表达能力更强的权限领域模型,你可以预先给他定义一个上下文Context,在这个上下文中进行更灵活的表达,然后在运行时Runtime中给定一个Context实例,在这个Context实例的基础上进行权限检查。名字很重要,ABAC比滥用的“数据权限”要贴切的多,更不是那个用来衬托RABC伟大的专用绿叶ACL能够随便代换的。

我的困惑就是这里还有不少人在讨论的时候随意用acl和数据权限来随便替代abac。
0 请登录后投票
   发表时间:2009-10-09  
还是英文的啊,稍微有点儿吃力啊看起来...
0 请登录后投票
   发表时间:2009-10-09  
我晕 全英文的呀
相关技术本来就不太熟 全英的看得头晕

不如这样吧 每楼翻译一页行不行呀?楼下的
0 请登录后投票
   发表时间:2009-10-09  
我来翻译第一句,呵呵
引用
对于现代企业来说,电脑系统以及由它创建、运行、传输和存储的信息已经变得必不可少了。
下文略……
0 请登录后投票
   发表时间:2009-10-09  
Oh~my god ,  this is a english article.
Anybody can translate this article for us that poor in english, hehe~
0 请登录后投票
   发表时间:2009-10-10  
以前也接触过RBAC,但是觉得RBAC的过于粗狂,是通过菜单控制,而不是页面的按钮。不知道是不是我接触的不够深入~~
1 请登录后投票
   发表时间:2010-02-03  
我是英文盲,请大侠们翻译一下,

   谢先。
0 请登录后投票
论坛首页 入门技术版

跳转论坛:
Global site tag (gtag.js) - Google Analytics