1.在RBAC引入Role的概念是為了隔離User與Privilege(Operation+Resource)���,因為業務中的User是經常變化的��,例如當某公司的普通員工都具有查看�,刪除,編輯公司部門內部的資料時����,那么有一天我想使普通員工不具備刪除部門內部資料的權限,那么我們就要對每一個普通員工進行刪除這個權限���,使得管理起來非常不便,引入Role把員工Role指派給普通員工����,那么只要在員工Role中刪除“刪除部門資料”的權限�,就可以對所有普通員工生效���。
2.角色繼承用于解決復雜組織結構之間的權限關系����。例如:
那么部門主管就具有了A,B權限,部門經理就具有了ABC權限��,總經理有ABCD權限����。
3.職責關系分離:避免兩個角色間的沖突。
A. SSD靜態職責分離:當角色授給用戶時判斷是否將沖突的角色給了同一個用戶���。沖突的角色被定義為一個二元關系,即任何一個用戶只能擁有其中的一個�。
B. DSD動態職責分離:角色授給用戶時可以把沖突角色授于同一個人�,但在一次行為中不能同時扮演兩個沖突的角色��。