與RBAC實施相關的問題

Question

我有一些與RBAC（僱傭模型）相關的問題。下面是場景

假設我有三個角色，一個父角色和三種不同類型的許可

家長角色的：分公司經理。 子角色：儲蓄經理，貸款經理和會計師。 權限：堅持，刪除，查看

Q1：能一個孩子的角色由兩個或多個角色 即繼承假定角色會計師向儲蓄經理和貸款經理報告不同的職責 - 例如，節能經理從高價值儲蓄賬戶中獲得會計角色的報告客戶和貸款經理從客戶採取的高價值貸款獲得會計角色報告

這種模式是允許的還是我們需要有儲蓄會計師和貸款會計師根據他們的職責

Q2：如果Q1是有效的，那麼我如何拒絕貸款相關的權限（持續貸款，刪除貸款，查看貸款詳情），以節省經理，但允許貸款經理，反之亦然儲蓄相關權限。

Q3：假設，

會計師沒有權限刪除儲蓄記錄 儲蓄經理有權刪除儲蓄記錄 貸款經理沒有權限刪除儲蓄記錄

現在所發生的銀行經理角色（刪除儲蓄記錄未定義）。 銀行經理將獲得刪除儲蓄記錄的權限。 確實允許優先於拒絕或反之亦然，或者我是否需要爲相同的規則編寫規則（要先行）。

有一些，我會請稍後

感謝 阿爾伯特了Arul普拉卡什

Answer 1

是讓這款機型更多的問題？

在基於角色的身份驗證中，角色扮演一個或多個角色。不管你喜歡什麼，你都可以將事物分成不同的角色 - 基於繼承來塑造角色。

，你應該用它來決定誰擁有什麼樣的角色的標準是什麼

1. 提供了良好的演員，他們需要做好自己的工作而留下不良行爲者的過度濫用的權力的最低金額的權力。
2. 伐木非常適合這樣的權威的濫用可以研究
3. 容易不夠了解，這樣別有用心的人無法合理地否認濫用職權責任
4. 允許足夠的授權，使經理們不動心共享憑據完成這項工作

設計一個永不應該違反的RBAC系統（除了向角色而不是用戶分配權限），唯一的規則是：角色不能通過假設角色少於允許的角色來升級權限。允許擔任銀行經理和會計人員的人如果能夠說服系統認爲自己是會計人員而不是銀行經理，或者相反，則無法行使更多權力。負面的權限使得事情變得非常困難，並引入奇怪的角落案例 - 只是避免它們。