与RBAC实施相关的问题

Question

我有一些与RBAC（雇佣模型）相关的问题。下面是场景

假设我有三个角色，一个父角色和三种不同类型的许可

家长角色的：分公司经理。 子角色：储蓄经理，贷款经理和会计师。 权限：坚持，删除，查看

Q1：能一个孩子的角色由两个或多个角色 即继承假定角色会计师向储蓄经理和贷款经理报告不同的职责 - 例如，节能经理从高价值储蓄账户中获得会计角色的报告客户和贷款经理从客户采取的高价值贷款获得会计角色报告

这种模式是允许的还是我们需要有储蓄会计师和贷款会计师根据他们的职责

Q2：如果Q1是有效的，那么我如何拒绝贷款相关的权限（持续贷款，删除贷款，查看贷款详情），以节省经理，但允许贷款经理，反之亦然储蓄相关权限。

Q3：假设，

会计师没有权限删除储蓄记录 储蓄经理有权删除储蓄记录 贷款经理没有权限删除储蓄记录

现在所发生的银行经理角色（删除储蓄记录未定义）。 银行经理将获得删除储蓄记录的权限。 确实允许优先于拒绝或反之亦然，或者我是否需要为相同的规则编写规则（要先行）。

有一些，我会请稍后

感谢 阿尔伯特了Arul普拉卡什

Answer 1

是让这款机型更多的问题？

在基于角色的身份验证中，角色扮演一个或多个角色。不管你喜欢什么，你都可以将事物分成不同的角色 - 基于继承来塑造角色。

，你应该用它来决定谁拥有什么样的角色的标准是什么

1. 提供了良好的演员，他们需要做好自己的工作而留下不良行为者的过度滥用的权力的最低金额的权力。
2. 伐木非常适合这样的权威的滥用可以研究
3. 容易不够了解，这样别有用心的人无法合理地否认滥用职权责任
4. 允许足够的授权，使经理们不动心共享凭据完成这项工作

设计一个永不应该违反的RBAC系统（除了向角色而不是用户分配权限），唯一的规则是：角色不能通过假设角色少于允许的角色来升级权限。允许担任银行经理和会计人员的人如果能够说服系统认为自己是会计人员而不是银行经理，或者相反，则无法行使更多权力。负面的权限使得事情变得非常困难，并引入奇怪的角落案例 - 只是避免它们。