用户管理系统 - 用户权限设计(RBAC模型）

权限管控可以通俗的理解为权力限制，即不同的人由于拥有不同权力，他所看到的、能使用的可能不一样。对应到一个应用系统，其实就是一个用户可能拥有不同的数据权限（看到的）和 *** 作权限（使用的）。

Access Control List，ACL是最早的、最基本的一种访问控制机制，是基于客体进行控制的模型，在其他模型中也有ACL的身影。为了解决相同权限的用户挨个配置的问题，后来也采用了用户组的方式。

原理：每一个客体都有一个列表，列表中记录的是哪些主体可以对这个客体做哪些行为，非常简单。

例如：当用户A要对一篇文章进行编辑时，ACL会先检查一下文章编辑功能的控制列表中有没有用户A，有就可以编辑，无则不能编辑。再例如：不同等级的会员在产品中可使用的功能范围不同。

缺点：当主体的数量较多时，配置和维护工作就会成本大、易出错。

Discretionary Access Control，DAC是ACL的一种拓展。

原理：在ACL模型的基础上，允许主体可以将自己拥有的权限自主地授予其他主体，所以权限可以任意传递。

例如：常见于文件系统，LINUX，UNIX、WindowsNT版本的 *** 作系统都提供DAC的支持。

缺点：对权限控制比较分散，例如无法简单地将一组文件设置统一的权限开放给指定的一群用户。主体的权限太大，无意间就可能泄露信息。

Mandatory Access Control，MAC模型中主要的是双向验证机制。常见于机密机构或者其他等级观念强烈的行业，如军用和市政安全领域的软件。

原理：主体有一个权限标识，客体也有一个权限标识，而主体能否对该客体进行 *** 作取决于双方的权限标识的关系。

例如：将军分为上将>中将>少将，军事文件保密等级分为绝密>机密>秘密，规定不同军衔仅能访问不同保密等级的文件，如少将只能访问秘密文件；当某一账号访问某一文件时，系统会验证账号的军衔，也验证文件的保密等级，当军衔和保密等级相对应时才可以访问。

缺点：控制太严格，实现工作量大，缺乏灵活性。

(Attribute-Based Access Control)，能很好地解决RBAC的缺点，在新增资源时容易维护。

原理：通过动态计算一个或一组属性是否满足某种机制来授权，是一种很灵活的权限模型，可以按需实现不同颗粒度的权限控制。

属性通常有四类：

例如：早上9:00 11:00期间A、B两个部门一起以考生的身份考试，下午14:00 17:00期间A、B两个部门相互阅卷。

缺点：规则复杂，不易看出主体与客体之间的关系，实现非常难，现在应用的很少。

RBAC的核心在于用户只和角色关联，而角色代表对了权限，是一系列权限的集合。

RBAC三要素：

在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关系同样也存在继承关系防止越权。

RBAC模型可以分为：RBAC 0、RBAC 1、RBAC 2、RBAC 3 四个阶段，一般公司使用RBAC0的模型就可以。另外，RBAC 0相当于底层逻辑，后三者都是在RBAC 0模型上的拔高。

我先简单介绍下这四个RBAC模型：

RBAC 0模型： 用户和角色、角色和权限多对多关系。

简单来说就是一个用户拥有多个角色，一个角色可以被多个用户拥有，这是用户和角色的多对多关系；同样的，角色和权限也是如此。

RBAC 0模型如下图：没有画太多线，但是已经能够看出多对多关系。

RBAC 1模型： 相对于RBAC 0模型，增加了角色分级的逻辑，类似于树形结构，下一节点继承上一节点的所有权限，如role1根节点下有role11和role12两个子节点。

角色分级的逻辑可以有效的规范角色创建（主要得益于权限继承逻辑），我之前做过BD工具（类CRM），BD之间就有分级（经理、主管、专员），如果采用RBAC 0模型做权限系统，我可能需要为经理、主管、专员分别创建一个角色（角色之间权限无继承性），极有可能出现一个问题，由于权限配置错误，主管拥有经理都没有权限。

而RBAC 1模型就很好解决了这个问题，创建完经理角色并配置好权限后，主管角色的权限继承经理角色的权限，并且支持针对性删减主管权限。

RBAC 1模型如下图：多对多关系仍旧没有改变，只增加角色分级逻辑。

[上传中(-95cc0-1640060170347-0)]

RBAC 2模型： 基于RBAC 0模型，对角色增加了更多约束条件。

如角色互斥，比较经典的案例是财务系统中出纳不得兼管稽核，那么在赋予财务系统 *** 作人员角色时，同一个 *** 作员不能同时拥有出纳和稽核两个角色。

如角色数量限制，例如：一个角色专门为公司CEO创建的，最后发现公司有10个人拥有CEO角色，一个公司有10个CEO？

这就是对角色数量的限制，它指的是有多少用户能拥有这个角色。

RBAC 2 模型主要是为了增加角色赋予的限制条件，这也符合权限系统的目标：权责明确，系统使用安全、保密。

RBAC 3模型： 同样是基于RBAC0模型，但是综合了RBAC 1和RBAC 2的所有特点。这里就不在多描述，读者返回去看RBAC 1和RBAC 2模型的描述即可。

RBAC 权限模型由三大部分构成，即用户管理、角色管理、权限管理。用户管理按照企业架构或业务线架构来划分，这些结构本身比较清晰，扩展性和可读性都非常好。角色管理一定要在深入理解业务逻辑后再来设计，一般使用各部门真实的角色作为基础，再根据业务逻辑进行扩展。权限管理是前两种管理的再加固，做太细容易太碎片，做太粗又不够安全，这里我们需要根据经验和实际情况来设计。

用户管理中的用户，是企业里每一位员工，他们本身就有自己的组织架构，我们可以直接使用企业部门架构或者业务线架构来作为线索，构建用户管理系统。

需要特殊注意：

实际业务中的组织架构可能与企业部门架构、业务线架构不同，需要考虑数据共享机制，一般的做法为授权某个人、某个角色组共享某个组织层级的某个对象组数据。

在设计系统角色时，我们应该深入理解公司架构、业务架构后，再根据需求设计角色及角色内的等级。一般角色相对于用户来说是固定不变的，每个角色都有自己明确的权限和限制，这些权限在系统设计之处就确定了，之后也轻易不会再变动。
（1）自动获得基础角色
当员工入职到某部门时，该名员工的账号应该自动被加入该部门对应的基础角色中，并拥有对应的基础权限。这种 *** 作是为了保证系统安全的前提下，减少了管理员大量手动 *** 作。使新入职员工能快速使用系统，提高工作效率。

（2）临时角色与失效时间

公司业务有时需要外援来支持，他们并不属于公司员工，也只是在某个时段在公司做支持。此时我们需要设置临时角色，来应对这种可能跨多部门协作的临时员工。

如果公司安全级别较高，此类账号默认有固定失效时间，到达失效时间需再次审核才能重新开启。避免临时账号因为流程不完善，遗忘在系统中，引起安全隐患。

（3）虚拟角色

部门角色中的等级，可以授权同等级的员工拥有相同的权限，但某些员工因工作原因，需要调用角色等级之外的权限，相同等级不同员工需要使用的权限还不相同。这种超出角色等级又合理的权限授予，我们可以设置虚拟角色。这一虚拟角色可集成这一工作所需的所有权限，然后将它赋予具体的员工即可。这样即不用调整组织架构和对应的角色，也可以满足工作中特殊情况的权限需求。

（4）黑白名单

白名单：某些用户自身不拥有某部门的顶级角色，但处于业务需求，需要给他角色外的高级权限，那么我们可以设计限制范围的白名单，将需要的用户添加进去即可。在安全流程中，我们仅需要对白名单设计安全流程，即可审核在白名单中的特殊用户，做到监控拥有特殊权限的用户，减少安全隐患。

黑名单：比较常见的黑名单场景是某些犯了错误的员工，虽然在职，但已经不能给他们任何公司权限了。这种既不能取消角色关联，也不能完全停用账号的情况，可以设置黑名单，让此类用户可以登录账号，查看基本信息，但大多数关键权限已经被黑名单限制。

权限管理一般从三个方面来做限制。页面/菜单权限， *** 作权限，数据权限。

（1）页面/菜单权限
对于没有权限 *** 作的用户，直接隐藏对应的页面入口或菜单选项。这种方法简单快捷直接，对于一些安全不太敏感的权限，使用这种方式非常高效。

（2） *** 作权限
*** 作权限通常是指对同一组数据，不同的用户是否可以增删改查。对某些用户来说是只读浏览数据，对某些用户来说是可编辑的数据。

（3）数据权限
对于安全需求高的权限管理，仅从前端限制隐藏菜单，隐藏编辑按钮是不够的，还需要在数接口上做限制。如果用户试图通过非法手段编辑不属于自己权限下的数据，服务器端会识别、记录并限制访问。

数据权限如何管控

数据权限可以分为行权限和列权限。行权限控制：看多少条数据。列权限控制：看一条数据的多少个字段
简单系统中可以通过组织架构来管控行权限，按照角色来配置列权限，但是遇到复杂情况，组织架构是承载不了复杂行权限管控，角色也更不能承载列的特殊化展示。

目前行业的做法是提供行列级数据权规则配置，把规则当成类似权限点配置赋予某个角色或者某个用户。

网易有数做法：
>目前网络应用系统采用的主要模型是客户/服务器计算模型。客户/服务器模型是所有网络应用的基础。客户/服务器分别指参与一次通信的两个应用实体，客户方主动地发起通信请求，服务器方被动地等待通信的建立。服务器配备大容量存储器并安装数据库系统，用于数据的存放和数据检索。客户端安装专用的软件，负责数据的输入、运算和输出。客户机和服务器都是独立的计算机。当一台连入网络的计算机向其他计算机提供各种网络服务(如数据、文件的共享等)时，它就被叫做服务器。而那些用于访问服务器资料的计算机则被叫做客户机。

客户机/服务器模式 Client/server model) 简称C/S系统。是一类按新的应用模式运行的分布式计算机系统。

在这个应用模式中，用户只关心完整地解决自己的应用问题，而不关心这些应用问题由系统中哪台或哪几台计算机来完成。在C/S系统中，能为应用提供服务（如文件服务，打印服务，拷贝服务，图象服务，通信管理服务等）的计算机或处理器，当其被请求服务时就成为服务器。

与服务器相对，提出服务请求的计算机或处理器在当时就是客户机。从客户应用角度看，这个应用的一部分工作在客户机上完成，其他部分的工作则在（一个或多个）服务器上完成。

扩展资料

客户机/服务器模式的特点：

可快速进行信息处理。由于在 C/S 结构中是一种基于点对点的运行环境，当一项任务提出请求处理时，可以在所有可能的服务器间均衡地分布该项任务的负载。这样，在客户端发出的请求可由多个服务器来并行进行处理，为每一项请求提供了极快的响应速度和较高的事务吞吐量。

可实现资源共享。C/L结构中的资源是分布的，客户机与服务器具有一对多的关系和运行环境。用户不仅可存取在服务器和本地工作站上的资源，还可以享用其他工作站上的资源，实现了资源共享。

参考资料来源：百度百科-客户服务器模式

一、域名成本

什么是域名？域名是Internet上用来寻找网站所用的名字，相当于主机的门牌号码。

域名后缀有哪些？目前域名分为通用域名和国别域名两类。

通用域名：

com用于商业公司（国际域名最常用）

org用于组织、协会等

net用于网络服务

e用于教育机构

gov用于政府部门

国别域名：

cn中国不备案不能解析的域名

hk香港

uk英国

us美国

ru俄罗斯

域名注册的费用是多少？域名注册商收取的费用都不一样，目前一般在55-130元/年不等。任何网站都需要用到域名，所以这部分费用省不了。

二、服务器成本

服务器分为两种，独立服务器（我们常说的虚拟主机也属于独立服务器），另一种就是云主机（比如阿里云）。又快又好智能建站的服务器基本都在阿里云。

独立服务器从容量角度看有硬件容量（CPU、硬盘、带宽等）、站点数量容量（网站个数）。目前硬件都已经是非常好的配置，所以站点数量就变得很重要。

服务器也是按年收费的，并且任何网站都需要用到服务器，这个费用是没办法省掉的。服务器费用多少钱呢？其实每个服务商的收费都不一样，主要根据服务器的配置（类似你电脑的配置，CPU，内存，主板），服务器的带宽（类似你家里上网的10M，100M），服务器的容量（类似你U盘的1G，2G）等不同，收费在100-几万。当然几万的一般都是大网站，小型网站要不了多少钱。做一个普通的展示网站服务器成本在100多-500元左右应该够了，而阿里云的虚拟主机最低配置280元左右。

三、网站设计和程序开发

什么是网站设计：你网站的所有界面，需要设计师设计。

什么是程序开发：你网站做好了，需要上传到网站上，这时就需要程序员帮你做程序和数据库，要不然单纯的网页，是没办法点击，同时也无法管理后台（如：更新、修改文字等）。

网站设计需要设计师，程序开发需要程序员。每个地区物价不一样，技术人员的工资也不一样，这两项加在一起至少需要500元。同时人工成本只会越来越高。

又快又好智能建站已经把网站设计和程序开发都解决了，你要做的只是简单的替换文字和，无需经验最快30分钟就能做好网站，最关键的是你自己做出来的网站可能比找某些网络公司定制的还漂亮！所以你自己做的话，就相省下设计、程序和资料上传的费用。

四、资料上传

如上传文章、产品及参数、公司介绍，新闻等。一般网络公司会帮助客户上传部分，使你的网站至少看起来是一个完整的网站。但是如果你的网站资料比较多的话，因为涉及到人工就需要一些成本的，这个成本至少也需300元吧。

这样算下来，找网络公司帮你做网站怎么收费的，你大致也有点数了吧。当然小智是按照一家定位中低端市场的正规传统建站公司的成本来核算的。如果还有人肯低于上述的价格帮你制作的话，我觉得几乎不现实。你要慎重选择了，小智建议你在合作之前先体验。

---