时间:2023-01-19 | 标签: | 作者:Q8 | 来源:网络
小提示:您能找到这篇{应用层数据安全管控实践—权限模型篇}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的应用层数据安全管控实践—权限模型篇内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您! |
一、权限模型迭代概览权限的本质其实是人与人之间信任关系的建立和打散,权限管控的核心是声明人和权限的品牌抄袭危机公关关系。纵观行业发展,权限管控模型先后经历了以ACL模型为代表的1.0时代和以RBAC模型为代表的2.0时代,现在正式迈入以TRFAC模型为代表的3.0代。 图表1:基础权限模型示意图 【基础权限模型介绍】注释: [1] ACL模型:即Access Control List,访问控制列表,用户与权限直接关联,直接维护列表中用户与资源的关系从而达到权限管控的目的。 [2] RBAC模型:即Role-Based Access Control,基于角色的访问控制,RBAC模型则是角色与权限进行关联,用户成为相应的角色而获得对应的权限。 [3] TRFAC模型:即target-resource-factor-act Control,基于“对象-资源-条件-行为”的权限控商城小红书种草有时间制,TRFAC模型描述了“XX对象(人/应用/组织/角色等)对 XX资源(页面/菜单/按钮/数据等)在 XX条件/因素(城市=北京等)下拥有 XX行为类型(增删改查等)的权限”。 二、权限模型在产品设计中的应用图表2:基于权限模型设计的XX权限产品DEMO 三、TRFAC模型实践数据产品天然存在人和资源之间的复杂关系,传统权限模型,无论是A抖音号外包代运营公司怎么CL模型还是RBAC模型,都不能很好地声明人和权限的关系。以下就以两个典型案例的解决方案,来阐述TRFAC模型的应用实践。 [ 案例1 ]某业务团队需要实现报表权限控制(维度权限)需求。业务逻辑并不复杂,但是人和资源的权限关系比较细,传统ACL模型和RBAC模型均不能满足,因此,我们采用TRFAC模型来实现。 首先,鉴权主体是人,资源为报表;然后,行级别权限控制,可以理解为在正常资源关系中,新增了“维度值”附属条件,比如,当报表资源满足“城市=北京”的条件时,用户XX拥有对该报表的权限。所以我们实现路径如下: 图表3:行级别权限实现逻辑图 图表4:行级别权限鉴权流程示意图 思考:为什么不把报表中每一行数据都当作是资源注册到权限中心,这样行级别权限其实只是一次更细粒度的资源鉴权,为什么要把维度值当作是条件呢? [ 案例2 ]某某智能数仓平台(其实就是指标/维度生产维护服务平台),需要权限中心帮助实现功能和数据权限控制。系统简易架构图如下: 图表5:XX智能数仓平台系统架构图 该智能数仓平台兼具功能和数据权限管控需求,其中功能权限包括业务线/业务域/业务过程的管理和维护,修饰词的管理和维护,指标/维度的录入和管理维护;数据权限包括“指标+维度”的数据探查权限,底层库表的数据读取权限,具体组织形式如下图所示: 图表6:XX智能数仓平台功能权限管理体系设计 图表7:XX智能数仓平台角色管控体系 在业务逻辑上比较复杂,既有功能权限,又有数据权限,同时资源之间还有归属和继承关系,同时还有较为丰富的角色体系,这时候单纯用ACL或者RBAC模型都无法全部满足需求,因此我们采用TRFAC模型来实现: 图表8:角色-权限实现逻辑图 案例2小结
|
上一篇:如何处理缓存导致的无效曝光?
下一篇:数据分析,如何支持决策
小提示:您应该对本页介绍的“应用层数据安全管控实践—权限模型篇”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通应用层数据安全管控实践—权限模型篇的相关事宜。
关键词:2年, 初级, 权限模型,