基于RBAC与ACL的权限控制系统的实现.pdfVIP

文章编号：1007—1423(2015)07—0045—05 DOI：10．39696．issn．1007—1423．2015．07．013 基于 RBAC与ACL的权限控制系统的实现 洪布金 ．余稳定 (四川大学计算机学院，成都 610065) 摘要 ： 实现一个基于RBAC思想与SpringSecurityACL模型相结合的权限控制系统，详细阐述该系统的实现原理与工作机 制 RBAC与传统的授权策略相比它更加安全 、灵活易维护。该系统将RBAC的思想与ACL模型相结合 ，能达到细粒 度的数据级权限访问控制。实践表明，该系统有 良好的扩展性与易用性。 关键词 ： RBAC；SpringSecurityACL；权限控制 ；数据级访问控制；细粒度 0 引言 是在 RBAC0的基础上进行扩展．RBAC0的模型如图 1 所示 。 随着互联网与计算机的高速发展 ．Web系统应用 越来越广泛．在带来方便的同时也增加了各种各样的 攻击与信息的窃取．尤其是对一些信息比较敏感的系 统 ．信息一旦遭到非法访 问．将造成很大 的损失 ，对资 与用 相关 源的访 问控制越来越成为一个系统的核心功能 基于 角色的访问控制 (RBAC)由于其简单性、易扩展性使其 图 1RBAC0模型 成为业界广泛接受和应用 的授权参考模型 RBAC 在用户与资源之间增加角色层 ．由于角色的变更的频 RBAC0主要包括 5个元素 ，即用户 (user)、角色 率相对于用户的变更频率要低 ．通过给角色授权可 以 role)、目标 (obiect)、操作 (operation)以及许 可权 限 降低授权的复杂度，易于维护。随着应用的复杂度不 (permission)。系统通过给角色授权而不是给用户授权 ． 同．对资源的访问控制需求也不相 同 RBAC一般能做 再将角色与用户关联起来 ．这样用户就获得了角色被 到URL级别与页面元素的权限控制 ．也就是功能级的 授予的权 限 当用户登录系统的时候 ．通过 session会话 权限制．但是无法做到数据级的权限访 问控制 ．本文通 激活用户所属的角色 ．来获得对系统的访问控制 由于 过将 RBAC与访 问控制列表 ACL相结合 ．实现 了一个 角色／权 限之 间的变化 比角色／用户关系之间的变化相对 达到数据级权限控制的系统I4调．有很好 的可扩展性与 要慢得多，减少了授权管理的复杂性，降低管理开销 易维护性 访 问控制列表 (ACL)是针对数据级 的权限访 问控 制而提出来的．由于应用的复杂度不同．某些应用需要 1 RBAC模型与 ACL简述 对实体对象进行访 问控制 ．例如在一家公司．业务员都 美 国国家标准与技术研究院 (NIST)标准 RBAC 拥有相同的页面．但是只有被授权的用户才能看到相 模型有 4个部件模型组成 lJ【．这 4个模型组件分别是 应的报表。SpnngSecufitv提供了对访问控制列表的实 基本模型 (RBAC0)、型(RBAC1)、(RBAC2)和同一模型 现6[1，采用 SpringSecurity的实现可 以方便地对系统中 (RBAC3)，其中应用最为广泛的为 RBAC0，本系统就 的领域对象设置不同的权限 ACL主要包括 4个基本 现代计算机 2015．03上 @