1.在RBAC引入Role的概念是為了隔離User與Privilege(Operation+Resource),因為業務中的User是經常變化的,例如當某公司的普通員工都具有查看,刪除,編輯公司部門內部的資料時,那么有一天我想使普通員工不具備刪除部門內部資料的權限,那么我們就要對每一個普通員工進行刪除這個權限,使得管理起來非常不便,引入Role把員工Role指派給普通員工,那么只要在員工Role中刪除“刪除部門資料”的權限,就可以對所有普通員工生效。
2.角色繼承用于解決復雜組織結構之間的權限關系。例如:
那么部門主管就具有了A,B權限,部門經理就具有了ABC權限,總經理有ABCD權限。
3.職責關系分離:避免兩個角色間的沖突。
A. SSD靜態職責分離:當角色授給用戶時判斷是否將沖突的角色給了同一個用戶。沖突的角色被定義為一個二元關系,即任何一個用戶只能擁有其中的一個。
B. DSD動態職責分離:角色授給用戶時可以把沖突角色授于同一個人,但在一次行為中不能同時扮演兩個沖突的角色。