沉梦听雨的编程指南 沉梦听雨的编程指南
首页
  • 基础篇
  • 集合篇
  • 并发篇
  • JVM
  • 新特性
  • 计算机网络
  • 操作系统
  • 数据结构与算法
  • 基础篇
  • MySql
  • Redis
  • 达梦数据库
  • Spring
  • SpringBoot
  • Mybatis
  • Shiro
  • 设计须知
  • UML画图
  • 权限校验
  • 设计模式
  • API网关
  • RPC
  • 消息队列
  • SpringCloud
  • 分布式事务
  • 云存储
  • 搜索引擎
  • 多媒体框架
  • 虚拟机
  • 开发工具篇
  • 工具库篇
  • 开发技巧篇
  • 工具类系列
  • 随笔
  • 前端环境搭建
  • HTML与CSS
  • JS学习
  • Axios入门
  • Vue Router入门
  • Pinia入门
  • Vue3入门
  • Vue3进阶
  • 黑马Vue3
  • 脚手架搭建
  • 瑞吉外卖
  • 黑马点评
  • vue-blog
  • 沉梦接口开放平台
  • 用户中心
  • 聚合搜索平台
  • 仿12306项目
  • 壁纸小程序项目
  • RuoYi-Vue
  • 博客搭建
  • 网站收藏箱
  • 断墨寻径摘录
  • 费曼学习法
Github (opens new window)

沉梦听雨

时间是最好的浸渍剂,而沉淀是最好的提纯器🚀
首页
  • 基础篇
  • 集合篇
  • 并发篇
  • JVM
  • 新特性
  • 计算机网络
  • 操作系统
  • 数据结构与算法
  • 基础篇
  • MySql
  • Redis
  • 达梦数据库
  • Spring
  • SpringBoot
  • Mybatis
  • Shiro
  • 设计须知
  • UML画图
  • 权限校验
  • 设计模式
  • API网关
  • RPC
  • 消息队列
  • SpringCloud
  • 分布式事务
  • 云存储
  • 搜索引擎
  • 多媒体框架
  • 虚拟机
  • 开发工具篇
  • 工具库篇
  • 开发技巧篇
  • 工具类系列
  • 随笔
  • 前端环境搭建
  • HTML与CSS
  • JS学习
  • Axios入门
  • Vue Router入门
  • Pinia入门
  • Vue3入门
  • Vue3进阶
  • 黑马Vue3
  • 脚手架搭建
  • 瑞吉外卖
  • 黑马点评
  • vue-blog
  • 沉梦接口开放平台
  • 用户中心
  • 聚合搜索平台
  • 仿12306项目
  • 壁纸小程序项目
  • RuoYi-Vue
  • 博客搭建
  • 网站收藏箱
  • 断墨寻径摘录
  • 费曼学习法
Github (opens new window)
  • 设计须知

    • 命名规范
    • 聊聊什么是耦合度
    • 幂等性问题分析
    • LocalDateTime和DateTime
    • 聊聊软件架构设计
    • 说说war和jar的区别
    • 聊聊多租户是什么
    • 那些关于管理系统的知识
      • 管理系统的类型
      • 常见访问控制权限策略模型
        • 1. 基于角色的访问控制(RBAC)
        • 2. 基于属性的访问控制(ABAC)
        • 3. 基于策略的访问控制(PBAC)
        • 4. 基于身份的访问控制(IBAC)
        • 5. 自主访问控制(DAC)
        • 6. 强制访问控制(MAC)
      • 访问控制模型对比(表格)
      • 现实系统中的组合应用
      • 参考文献
    • 唯一索引和逻辑删除冲突解决方法
    • 日志记录相关
  • UML画图

  • 权限校验

  • 设计模式

  • 系统设计
  • 设计须知
沉梦听雨
2024-04-16
目录

那些关于管理系统的知识

# 那些关于管理系统的知识

# 管理系统的类型

  1. 企业资源计划(ERP)系统

    • ERP 是集成的企业管理软件,覆盖财务、供应链、制造、采购、人力资源等模块。
    • 访问控制用于确保用户仅能访问与其岗位相关的业务流程与数据。
  2. 客户关系管理(CRM)系统

    • CRM 主要用于管理客户数据和客户互动,如销售线索、客户支持、市场活动等。
    • 访问控制确保用户只能访问授权客户信息,如销售代表仅能看到其负责客户的详细数据。
  3. 人力资源信息系统(HRIS)

    • HRIS 负责管理员工数据、招聘、绩效、薪酬和福利等功能。
    • 访问控制确保如普通员工只能查看自己的信息,而 HR 管理者可查看所有员工数据。
  4. 内容管理系统(CMS)

    • CMS 用于网站内容、知识文档、媒体资源等的管理,常用于企业官网、知识库或内部信息门户。
    • 访问控制决定谁可以查看、编辑、发布或审批内容。
  5. 办公自动化系统(OA)

    • OA 系统支持审批流程、公文流转、任务分派等办公事务。
    • 访问控制主要体现在流程节点控制与文档权限控制中。

# 常见访问控制权限策略模型

访问控制模型决定了系统中“谁可以访问哪些资源”,是信息安全设计的核心组成部分。

# 1. 基于角色的访问控制(RBAC)

RBAC(Role-Based Access Control)是最常见的权限模型,通过为用户分配角色,再由角色继承权限。

  • 优点:易于管理,适合结构清晰的组织。
  • 场景:ERP、CRM、OA 等系统中广泛使用。
  • 扩展形式:
    • 分层 RBAC:支持角色继承(如“经理”继承“员工”权限)。
    • 约束 RBAC:支持职责分离、防止权限冲突。

# 2. 基于属性的访问控制(ABAC)

ABAC(Attribute-Based Access Control)根据用户属性、资源属性及环境上下文决定权限,例如:

  • 用户属性:部门、职位、入职时间
  • 资源属性:数据敏感级别、所属业务模块
  • 环境属性:访问时间、IP 地址、地点等

特点:

  • 灵活性高,适用于复杂、动态的权限需求。

示例策略:

  • 只有 “财务部” 员工在 “工作日工作时间” 内,才能访问 “财务报表数据”。

# 3. 基于策略的访问控制(PBAC)

PBAC(Policy-Based Access Control)强调使用集中式策略引擎(如 XACML)来控制访问权限。

  • 本质上是 ABAC 的实现方式之一,依赖规则和策略语言来定义访问规则。
  • 适合对合规性和审计要求较高的企业系统。

特点:

  • 高度自动化、可审计、策略可集中管理。

# 4. 基于身份的访问控制(IBAC)

IBAC(Identity-Based Access Control)是直接基于用户身份分配权限的模型,权限与具体用户绑定,而非角色或属性。

  • 优点:简单直观
  • 缺点:不易维护,用户多时易混乱
  • 常见于小型系统或特殊账号管理场景(如超级管理员账号)

# 5. 自主访问控制(DAC)

DAC(Discretionary Access Control)允许资源拥有者自主分配权限。

  • 示例:Linux 文件系统中,文件拥有者可通过 chmod 控制访问权限。
  • 优点:灵活
  • 缺点:安全性相对较弱,容易出现权限滥用

# 6. 强制访问控制(MAC)

MAC(Mandatory Access Control)由系统或安全策略强制执行,用户无法更改访问策略。

  • 常用于高安全等级环境(如军用系统、政府内网)。
  • 示例:以机密、秘密、公开等级对数据标记,只有具备相应安全级别的用户才能访问

# 访问控制模型对比(表格)

模型名称 控制依据 灵活性 安全性 典型应用场景
RBAC 用户角色 中 中 企业内部系统、OA、ERP
ABAC 属性组合 高 高 云平台、金融风控
PBAC 策略语言 高 高 合规系统、集中式策略管理平台
IBAC 用户身份 低 低 简单系统、超级管理员管理
DAC 用户决定 高 低 文件系统、共享资源
MAC 安全策略 低 极高 军事/政府系统

# 现实系统中的组合应用

在实际企业系统中,通常不会单独使用某一种模型,而是根据场景采用混合模型:

  • RBAC + ABAC:在角色基础上进行属性精细控制
  • PBAC + ABAC:策略集中管理 + 灵活属性评估
  • RBAC + DAC:大多数系统默认通过角色管理,再允许部分资源所有者设置共享权限

# 参考文献

  • 到底什么是RBAC权限模型?!RBAC之知其然,却一直不知其所以然。 RBAC就是一个权限控制模型,这个模型是经过时间沉 - 掘金 (juejin.cn) (opens new window)
上次更新: 2025/6/18 17:55:36
聊聊多租户是什么
唯一索引和逻辑删除冲突解决方法

← 聊聊多租户是什么 唯一索引和逻辑删除冲突解决方法→

Theme by Vdoing | Copyright © 2023-2025 沉梦听雨 | MIT License
  • 跟随系统
  • 浅色模式
  • 深色模式
  • 阅读模式