我学习的Apache四郎,我发现这篇文章:资源的访问控制VS基于角色的访问控制
The New RBAC: Resource-Based Access Control
而笔者说:
...... 。如果您想要,您可以将行为(权限)直接分配给角色。从这个意义上说,你仍然会有一个基于角色的访问控制安全策略 - 只是你会有明确的RBAC策略 而不是传统的隐式策略。
但是这引出了一个问题 - 为什么要停止角色?您可以将 行为直接分配给用户或组,或安全策略可能允许的任何其他行为。
看来作者宁愿直接存储用户和权限的关系而不是通过角色。
虽然它似乎这是简单明了的,我有一些问题:
是否有他们两个人之间的任何本质上的区别?
数据库模式。
在基于角色的访问控制角色,通常我们使用三个表来描述这种关系:
user
role
user_role
没有,如果我使用基于资源访问控制,什么是建设中的表通常的做法?
ABAC XACML是最好的已经存在的系统,我知道了。 阅读这篇也许有助于了解的话题更好:http://stackoverflow.com/questions/18622678/rest-api-use-endpoint-properties-in-authorization-model/18640223#18640223 – inf3rno
有关详细信息,请阅读本文章:https://stormpath.com/blog/new-rbac-resource-based-access-control –