时间戳

首页 > 解决方案 > 设计支持关系的基于角色的访问控制

database - 设计支持关系的基于角色的访问控制

问题描述

我正在为访问控制系统设计一个数据库模型,该系统部分基于角色,但确实需要一些访问列表功能和关系访问。

我正在为一所学校构建一个 Web 应用程序(如果重要的话,使用 PHP 和 MVC 架构)来管理学生、教师、员工和经理的互动,例如教师奖励学生或一名员工招收或移除学生。我的主要问题是我被要求: 1- 为每个用户提供可选的额外权限,而不是他们已经从他们的角色/角色继承的权限。(=> 访问列表) 2- 提供一种简单的方法来将某些学生与每个学期的某些学生进行匹配,这意味着一位老师应该能够为参加他所教课程的学生而不是其他班级的其他学生打分,并且这个班级会改变太频繁(每次更改间隔 2 个月)。

我正在考虑实现一个标准的基于角色的系统,为每个用户添加一个额外的权限表,并在权限中添加一个额外的字段,称为范围,可以选择填充另一个表的名称(这是由应用程序而不是 db 完成的)包含连接列表。例如,教师可以有教师控制器:“评分”-> 方法“新分数”-> 范围:“课程用户”,这意味着我在“课程用户”表中搜索教师 ID 和任何其他用户 ID相同的 courseid 并允许教师为与教师共享 courseid 的任何学生提交新分数。这是我的模型: 我当前的数据库结构

这是正确的方法吗?我应该为每个新的共享连接创建新表还是将它们全部放在一个表中?我很感激任何帮助或至少为这个问题的标准解决方案提供指导。

标签: databaseaccess-controlrbac

解决方案

您不应该为访问控制实现数据库模型。您的数据库模型应该包含您关心的对象(学生、教师、班级......)。其余的应该表示为外部授权模型中的策略。这称为基于属性的访问控制 。它也称为基于策略的访问控制 (PBAC)。不同的名字,一样的东西。

在 ABAC 中,一方面具有属性(数据库模型中的表字段,例如用户名、角色、课程年份……),另一方面具有策略。例如:

  • 教师可以在他们教授的课程中编辑学生的成绩
  • 学生可以查看自己的成绩
  • 学生可以查看他们所属班级的课程资料

所有这些都是(业务)授权策略的示例。

然后,在 ABAC 中,您有一个评估授权策略的策略决策点 (PDP) 和一个拦截业务请求并将授权请求发送到 PDP 的策略执行点 (PEP) 的概念。例如:

  • 学生 Alice 可以查看 #123 年级吗?
  • 老师 Bob 可以查看学生 Alice 的个人资料吗?

PDP 以允许或拒绝的决定进行回复,然后 PEP 必须执行该决定。您提到您的应用程序有一个 MVC 模型。您的 PEP 可能是您的控制器层中的拦截器或注释。

ABAC架构

有几种 ABAC 语言和实现:

  • 开源:
    • 基于 Rego 语言的 Open Policy Agent
    • AuthZForce 基于 XACML 标准。
  • 闭源:基于 XACML 和 ALFA 标准的 Axiomatics Policy Server。

推荐阅读