RBAC基本概念

基于角色的权限访问控制（Role-Based Access Control）作为传统访问控制（自主访问，强制访问）的有前景的代替受到广泛的关注。

RBAC 支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则

• 最小权限原则之所以被 RBAC 所支持，是因为 RBAC 可以将其角色配置成其完成任务所需要的最小的权限集。
• 责任分离原则可以通过调用相互独立互斥的角色来共同完成敏感的任务而体现，比如要求同一个计账员和财务管理员共同参与同一过账。
• 数据抽象可以通过权限的抽象来体现，如账务操作用借款、存款等抽象权限，而不用操作系统提供的典型读、写、执行权限。然而这些原则必须通过 RBAC 各部件的详细配置才能得以体现。