RBAC权限模型

用户5

权限5

角色3

角色2

用户

用户1

用户6

首页

权限4

角色

用户4

权限1

权限3

RBAC-1

RBAC-2RBAC-2模型，其实就是角色冲突，一个简单例子，你不能即是老板也是老板秘书，这样关系就乱了这里就是用户3不能同时拥有角色2，3

用户2

不能同时拥有角色2和3

角色1

用户3

RBAC-0

RBAC-3

权限

RBAC-2

RBAC-0RBAC-0是最基础的，就是在用户与角色、角色与权限间建立关系，每种关系均为多对多。

1. 什么是RBAC• RBAC模型：Role-Based Access Control      基于角色得访问控制• 通俗说，就是，权限不会直接分配到用户，而是分配到用户所拥有得角色• 这样的好处是什么？• 好处就是如果用户全体特别大，分配权限就能累死人，基于RBAC更适合企业应用得权限控制2. RBAC得四大模型RBAC根据这套模型功能的复杂程度不同，由简单到复杂又可以分为RBAC-0、RBAC-1、RBAC-2、RBAC-3四个层级。3. 权限管理（1）数据权限数据权限是指用户是否能够看到某些数据。主要应用在数据有保密要求，或数据量大，需按用户或角色来进行区分时。例如：财务主管在后台可以看到公司所有人的工资流水，但普通员工只能看到自己的工资流水。在这里，有的同学或许认为，既然我们的权限是跟角色关联，为什么“查看工资流水”这个权限精确到每个用户了呢？其实这就是RBAC-2的一种，权限与角色关联后增加了限制条件，不过这种限制条件无法在页面上灵活配置。数据权限的颗粒度由粗到细可以分为菜单级、栏目级、字段级，一般配置页面都可以灵活操作。（2）操作权限操作权限是指用户是否能够操作对应按钮。需要先有数据权限，才有操作权限，所以需要增加系统自动校验：• 选择了操作权限，就默认勾选了查看（数据）权限；• 取消了数据权限，就自动取消了操作权限以上就是我们做单系统的权限设计分享的内容。在多系统的权限设计中，虽然理论基础一样，但因为涉及到多个系统，所以产生了很多其他问题，需要另外解决。

RBAC-1RBAC-1是在RBAC-0的基础上，增加了继承关系。就是一个角色只能有另一角色的部分权限，这个角色的权限大小受另一角色权限影响。简单说，角色2由角色1派生，那么角色2所有得权限必然小于角色1，角色1拥有权限1，2，而角色2只有拥有权限1

权限2

RBAC-3RBAC-3是RBAC-1与RBAC-2的结合，就是既有继承关系，又有限制条件，基础都一样。