RBAC權(quán)限控制用戶在一般情況下，只能訪問WEB服務(wù)器上的資源或通過WEB服務(wù)器訪問數(shù)據(jù)庫中的數(shù)據(jù)資源。首先從權(quán)限的內(nèi)涵中分離出資源或功能的概念，理順權(quán)限與資源的關(guān)系:權(quán)限是角色擁有的權(quán)利，這種權(quán)利必須有載體，而資源或功能就是權(quán)限的載體。權(quán)限有了載體才有了管理的對象。Web信息管理系統(tǒng)中的資源是指資源或功能集合，它一般以頁面和功能模塊(菜單或按鍵)的形式存在，不管它們多么復(fù)雜，在WEB信息管理系統(tǒng)中，均以URL超鏈接來實現(xiàn)的，這是WEBWeb信息管理系統(tǒng)中的資源是指資源或功能集合，它一般以頁面和功能模塊(菜單或按鍵)的形式存在，不管它們多么復(fù)雜，在WEB信息管理系統(tǒng)中，均以URL超鏈接來實現(xiàn)的，這是WEB信息管理系統(tǒng)訪問資源最大的特點。UROI.ESPERMISSIONS.USLHASSIGNMENT圖1RBAC96型:PEH舗JSSIOW■ASSIGNME?fT：-ROLB 尺曲1GHFERARCHYSESSIONSUH麗2角色分級(hierarchy)在數(shù)據(jù)上是一個偏序關(guān)系，是自反、傳遞的和非對稱的。約束(contranits):職責(zé)分離：如銀行支票的錄入和復(fù)核不能使同一個人，用戶不能同時擁有2種角色。NIST(TheNationalInstituteofStandardsandTechnology美國國家標(biāo)準(zhǔn)與技術(shù)研究院)標(biāo)準(zhǔn)RBAC模型由4個部件模型組成，這4個部件模型分別是基本模型RBAC0(CoreRBAC)、角色分級模型RBAC1(HierarchalRBAC)、角色限制模型RBAC2(ConstraintRBAC)和統(tǒng)一模型RBAC3(CombinesRBAC)[1。]RBAC0模型如圖1所示。RBACO定義了能構(gòu)成一個RBAC控制系統(tǒng)的最小的元素集合在RBAC之中，包含用戶users(USERS)、角色roles(ROLES)、目標(biāo)objects(OBS)、操作operations(OPS)、許可權(quán)permissions(PRMS)五個基本數(shù)據(jù)元素，權(quán)限被賦予角色，而不是用戶，當(dāng)一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權(quán)限。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問控制的差別在于增加一層間接性帶來了靈活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴(kuò)展。?RBAC1引入角色間的繼承關(guān)系角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系僅要求角色繼承關(guān)系是一個絕對偏序關(guān)系，允許角色間的多繼承。而受限繼承關(guān)系則進(jìn)一步要求角色繼承關(guān)系是一個樹結(jié)構(gòu)。RBAC2模型中添加了責(zé)任分離關(guān)系RBAC2的約束規(guī)定了權(quán)限被賦予角色時，或角色被賦予用戶時，以及當(dāng)用戶在某一時刻激活一個角色時所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動態(tài)責(zé)任分離。約束與用戶-角色-權(quán)限關(guān)系一起決定了RBAC2模型中用戶的訪問許可。RBAC3包含了RBAC1和RBAC2既提供了角色間的繼承關(guān)系，又提供了責(zé)任分離關(guān)系。建立角色定義表。定出當(dāng)前系統(tǒng)中角色。因為有繼承的問題，所以角色體現(xiàn)出的是一個樹形結(jié)構(gòu)。因為有繼承的問題，所以角色體現(xiàn)出的是一個樹形結(jié)構(gòu)。

從web用戶界面用戶用戶表功能表(如菜單)A芭權(quán)限遴S5粟草控制就程圖service方面涉及后臺服務(wù)的訪問控制，不是url,而是對象方法。從web用戶界面用戶用戶表功能表(如菜單)A芭權(quán)限遴S5粟草控制就程圖service方面涉及后臺服務(wù)的訪問控制，不是url,而是對象方法。在RBAC之中,包含用戶users(USERS)、角色roles(ROLES)、目標(biāo)objects(OBS)、操作operations(OPS)、許可權(quán)permissions(PRMS)五個基本數(shù)據(jù)元素，權(quán)限被賦予角色,而不是用戶，當(dāng)一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權(quán)限。會話sessions是用戶與激活的角色集合之間的映射。權(quán)限系統(tǒng)的核心由以下三部分構(gòu)成：1.創(chuàng)造權(quán)限，2.分配權(quán)限，3.使用權(quán)限，然后，系統(tǒng)各部分的主要參與者對照如下：1.創(chuàng)造權(quán)限-Creator創(chuàng)造，2.分配權(quán)限-Administrator分配，3.使用權(quán)限-User：Creator創(chuàng)造Privilege，Creator在設(shè)計和實現(xiàn)系統(tǒng)時會劃分，一個子系統(tǒng)或稱為模塊，應(yīng)該有哪些權(quán)限。這里完成的是Privilege與Resource的對象聲明，并沒有真正將Privilege與具體Resource實例聯(lián)系在一起，形成Operator。Administrator指定Privilege與ResourceInstance的關(guān)聯(lián)。在這一步，權(quán)限真正與資源實例聯(lián)系到了一起，產(chǎn)生了Operator(PrivilegeInstance)。Administrator利用Operator這個基本元素，來創(chuàng)造他理想中的權(quán)限模型。如，創(chuàng)建角色，創(chuàng)建用戶組，給用戶組分配用戶，將用戶組與角色關(guān)聯(lián)等等...這些操作都是由Administrator來完成的。3.User使用Administrator分配給的權(quán)限去使用各個子系統(tǒng)。Administrator是用戶，在他的心目中有一個比較適合他管理和維護(hù)的權(quán)限模型。于是，程序員只要回答一個問題，就是什么權(quán)限可以訪問什么資源，也就是前面說的Operator。程序員提供Operator就意味著給系統(tǒng)穿上了盔甲。Administrator就可以按照他的意愿來建立他所希望的權(quán)限框架可以自行增加，刪除，管理Resource和Privilege之間關(guān)系?？梢宰孕性O(shè)定用戶User和角色Role的對應(yīng)關(guān)系。（如果將Creator看作是Basic的發(fā)明者，Administrator就是Basic的使用者，他可以做一些腳本式的編程）Operator是這個系統(tǒng)中最關(guān)鍵的部分，它是一個紐帶，一個系在Programmer，Administrator，User之間的紐帶。權(quán)限管理根據(jù)對資源的控制程度不同，分為粗、細(xì)粒度權(quán)限控制2種類型。在粗粒度權(quán)限控制下，不同的用戶在使用同一種權(quán)限時，所能訪問的資源和使用的功能是無差別的，即與用戶實例無關(guān)。在細(xì)粒度權(quán)限控制下，不同的用戶在使用同一種權(quán)限時，能夠訪問的資源和使用的功能是有差別的，即與用戶實例相關(guān)。角色表中增加父角色，不用指派，父角色的權(quán)限會自動分配與子角色。實現(xiàn)rbca1的角色等級。增加角色沖突表，將沖突角色存入表中，在給用戶分配多個角色時，要考慮待分配的角色與已分配的角色之間的是否存在沖突。滿足rbca2的靜態(tài)權(quán)責(zé)分離。資源中增加父角色，實現(xiàn)對菜單的控制，即子菜單繼承父菜單。定義角色應(yīng)遵守兩個原則：最大基數(shù)約束和職責(zé)分離。角色的最大基數(shù)約束是限制一個用戶最多可分配給多少個角色和一個角色最多擁有的用戶數(shù)目；權(quán)限的最大基數(shù)約束是限制一個訪問控制權(quán)限最多可被分配給多少個角色和一個角色最多可以擁有多少個權(quán)限。權(quán)限的最大基數(shù)約束用來控制一些較大權(quán)利訪問控制權(quán)限的分配。職責(zé)分離包括：角色成員關(guān)系的約束角色所擁有的權(quán)限的沖突關(guān)系用戶的沖突關(guān)系基于任務(wù)的職責(zé)分離。具體：互斥角色基數(shù)約束：一個用戶擁有的角色數(shù)目限制，一個角色對應(yīng)權(quán)限的數(shù)目限制前提條件：角色必須擁有另一角色才能設(shè)定，權(quán)限必須擁有另一種權(quán)限才能操作運(yùn)行時約束：一個用戶具有兩個角色，但在運(yùn)行時不能同時激活這兩個角色。功能:Adduser:添加用戶Addrole:添加角色Assignpri:實現(xiàn)功能授權(quán)Removeuser：實現(xiàn)用戶角色收回Removerole：實現(xiàn)角色回收Deleteuser：刪除用戶Deleterole：刪除角色Deletefun:刪除功能Activaterole、suspendrole:激活、掛起角色權(quán)限API粗粒度權(quán)限getPrivilegeByUserid(Stringuserid)通過傳入一個user的id，拿到當(dāng)前這個user對象都具有那些訪問權(quán)限。getResourcePrivilegeByUserid(Stringuserid,Stringresouceid)通過傳入一個user的id和一個資源的id，返回該user對當(dāng)前這個資源的訪問權(quán)限。getPrivilegeByResourceid(Stringresourceid)通過傳入一個資源的id，得到當(dāng)前資源下都有那些權(quán)限定義。havingHeritPrivilege(Stringuserid,Stringresourceid):Boolean傳入一個userid，資源ID，查看該user對資源是否有向下繼承的權(quán)限。這里繼承是資源的繼承。即對父欄目有權(quán)限，可以繼承下去對父欄目下的子欄目同樣有權(quán)限。havingPrivilege(Stringuserid,Stringresourceid):Boolean判斷某user對某一資源是否有權(quán)限。細(xì)粒度的權(quán)限getOperationByPrivilegeid(Stringprivilegeid)通過Privilege的id得到該P(yáng)rivilege的所有有效操作。getOperationByPrivilegeid(Stringprivilegeid,Stringresourceid)通過privilegeid的id、資源的id得到該資源下所有的有效操作。screeningOpreationByid(Stringprivilegeid,Stringresourceid,Stringuserid)通過Privilege，resource，userid的id得到該user對這一資源的有效操作。hasOperation(Stringoperationid):boolean通過傳入的operationGuid返回是否具有操作權(quán)限。技術(shù)實現(xiàn)Filter攔截：攔截該用戶是否有訪問這個頁面或這一資源的權(quán)限。問題：用戶、權(quán)限、角色重復(fù)授權(quán)問題封裝