主流的权限控制模型

在权限控制领域，多种主流的权限控制模型，它们各自有不同的设计逻辑和适用场景。以下是常见的几种：

1. DAC（自主访问控制，Discretionary Access Control）

• 核心逻辑：资源的所有者可以自主决定谁能访问该资源，以及拥有何种访问权限（如读、写、执行）。权限的分配和回收由资源所有者完全掌控。
• 典型特点：灵活性高，权限管理分散，但安全性较低，易出现权限滥用或权限蔓延问题。
• 适用场景：个人设备、小型团队的私有资源管理（如个人电脑文件权限、单机版应用的文档权限）。
• 示例：Linux/Unix系统中文件的rwx权限（所有者、所属组、其他用户的权限分配）。

一、RBAC模型基础概述

1.1 RBAC的定义与核心本质

RBAC的英文全称为“Role-Based Access Control”，中文释义为“基于角色的访问控制”。其核心是通过“角色”这一中间层实现用户与权限的间接关联，而非用户直接绑定权限。简单来说，系统先定义不同角色，为角色分配对应权限，再将角色赋予用户，用户最终通过持有的角色获得相应权限。

1. RBAC的核心授权逻辑

RBAC的授权逻辑可通过**“Who-What-How”三元组**描述：

• Who（谁）：指系统中的“用户”（User），即发起访问请求的主体（如员工、系统账号等）。
• What（什么）：指被访问的“资源”（如页面、按钮、数据、接口等）及对资源的“操作”（如查看、新增、修改、删除等），二者共同构成权限的核心对象。
• How（如何）：指“权限”（Permission），即用户通过角色获得的、对“资源-操作”的许可。