双参数RBAC系统

Question

我正在寻找带有两个参数的RBAC系统的示例或最佳实践。而不是简单地让用户与某个角色相关联，并且该角色与一组权限相关联；用户可以与“特定项目”的角色相关联，然后用户可以只对该项目(或该用户持有该角色的其他项目)拥有该角色的权限。用户可以在一个项目上具有特定的角色，而在另一个项目上可以具有不同的角色；授予角色的权限对于每个项目都是一致的；用户对项目的权限取决于用户在项目中的角色。

(如果有任何不同，我试图通过URL查询参数来限制页面内容的页面访问，该参数通过GET语句设置项目id。)

ABAC看上去很有前途，但我很难把头绕着它。我的理解是，用户的属性决定了用户是否具有角色(和/或权限)。在我的例子中，我似乎认为项目是“用户”，而我的用户是项目的属性(如果我的用户担任该项目的角色，则为true，否则为false )。

Answer 1

如果您想坚持RBAC标准，那么您将不得不在不同的项目中使用不同的角色。例如，如果在项目"P1“和"P2”中使用角色"admin“，则可以创建一个角色”P1:admin“和另一个角色"P2:admin”。

ABAC确实是另一种可能性。但是，如果我正确地理解了您，那么说“用户的属性决定用户是否具有角色(和/或权限)”是不正确的。ABAC中只有属性(角色是属性)，这比RBAC提供了更多的灵活性。在请求中，可以有一个表示项目的属性("P1“或"P2")，还有一个属性表示该特定项目的角色("admin")。例如，正确指定的策略将能够识别您将"admin“角色作为"P1”项目的一部分。