如何通过 个步骤实施

safiyaparvin

了解如何实施 RBAC 是构建现代 Web 应用程序的一项关键技能。随着最大限度地提高安全性、效率和可用性的需求不断增长，RBAC 成为成功应用程序项目的重要工具。 简而言之，基于角色的访问控制(RBAC) 是围绕定义的角色构建的框架，每个角色都有关联的权限。然后，用户会被分配到这些角色之一，以确定他们可以在您的应用程序中执行哪些操作。 如需更深入的解释，请查看我们的基于角色的访问控制终极指南 。 不过今天，我们将研究如何在下一个应用程序项目中将其付诸实践，以实现 RBAC 的优势并保护您的敏感数据。 以下是如何通过 8 个步骤为 Web 应用程序实施 RBAC。 如何实施 RBAC 审计工作流程 1. 审核您当前的状态 您需要做的第一件事是审核您当前的状态。更具体地说，您需要清楚地了解两件事： 您的 RBAC 系统将覆盖的确切资源。 用户当前如何访问这些资源并与之交互。 第一步，资源可以包括整个数据集；特定的数据库、表和视图；或单个属性、行和对象，以及基于这些的任何流程、操作或功能。 RBAC 建立在最小权限和职责分离的原则之上，这意味着用户应该接触到允许他们执行日常任务的最少量数据。 显然，我们需要知道我们正在使用哪些数据，然后才能决定如何分配权限。 您还需要审核您的资源如何适应现有工作流程。 在许多情况下，您已经在需求收集过程中完成了此操作。 如果没有，关键是确定哪些工作流程在您当前的工作流程中有效，以及哪些地方会产生风险或效率低下。 例如，您可能会用更现代的解决方案替换旧系统来管理特定工作流程。您的员工可能对您之前的应用程序的某个特定 UI、流程或其他元素感到满意。

尽管如此，您可能会确定您的管理团队可以访问他们不需要的数据。例如，他们只需要客户信息的某些元素，而不需要他们的完整个人详细信息。 这里的总体目标是利用您确定的每个资源并将它们与与之交互的用户类型相关联，以便您可以实现安全性和可访问性的理想平衡。 查看我们的指南，了解基于规则的访问控制和基于角色的访问控制之间的差异 。 定义角色 2. 定义角色 接下来，我们可以使用这些信息来开始定义我们的角色。此过程分为两个部分： 决定离散的客户分组。 确定应与每个角色相关联的角色。 通常，这意味着根据员工现有的工作职能创建角色层次结构。换句话说，模仿 RBAC 系统中现有的组织或部门结构。 因此，在销售应用程序中，您可能为个人销售人员、团队领导和经理分配不同的角色 葡萄牙手机号码清单  当然，您可能拥有跨不同团队和部门的工作流程。假设您想为 IT 设备租赁工具创建角色。在这种情况下，您的角色将不会完全遵循您现有的组织结构。 也就是说，员工的职称并不能真正反映他们租用笔记本电脑或显示器所需的数据。相反，您在这里的角色应该反映特定工作流程中不同用户的能力。 这可以像为设备管理团队和所有其他员工定义两个单独的角色一样简单。 在摘要中概述了基本用户角色后，您可以定义每个用户所需的确切权限。 作为起点，您可以返回到之前确定的资源，并决定每个角色是否需要读取、创建、更新或删除权限，或者不需要这些权限。



因此，在我们的设备租赁示例中，普通用户将需要阅读不同资产的有限信息来创建和更新租赁请求。IT 团队需要跨这两个数据集的完整权限。 然后，您可以考虑每个权限中的其他限制。 例如，我们不希望我们的基本用户能够更新任何租赁请求。相反，他们只需针对自己提出的请求执行此操作。同样，他们需要能够读取自己的请求。 稍后我们将讨论如何实现这一目标。 查询级 RBAC 实现 3. 查询级实现 现在是时候考虑实施基于角色的访问控制了。具体来说，我们将研究如何在三个不同级别的应用程序中实现 RBAC： 数据库查询。 应用程序屏幕和界面。 单独的组件。 在实施权限时，它们提供了不同级别的特异性。 我们首先看一下查询级别的实现。这意味着将实际的数据库查询限制为不同的角色，无论它们在应用程序的 UI 中如何触发。 有两种方法可以解决这个问题： 将各个数据源的所有读取或写入权限限制为特定角色。 创建自定义查询并将其分配给特定角色。 我们创建了专门的数据访问控制指南 ，您可以查看该指南以了解更多信息。 这是向资源提供全面权限的有用方法，因为限制将适用于整个应用程序。一个明显的用例是，如果您知道某些组永远不需要访问特定的数据集或表。 在 Budibase 中，我们可以使用任何数据源下的管理访问选项卡来实现此目的。 我们还可以使用直观的下拉选择器将外部数据源的自定义查询分配给任何现有角色。