通用权限管理模型

通用权限管理模型
笔者的学习认知中，对于一个新框架往往都会先去学习一下底层模型(即表结构及关系)，因此这里我们就来了解一下通用的权限管理有哪些，各自的模型关系大概是什么样子，好对我们接下来的学习有个全局认知。
除了本节讲解的ACL、RBAC，还有一些的DAC、MAC、ABAC，感兴趣的读者们可以自行了解一下。
ACL权限模型
ACL（Access Control List）访问控制列表，是很古老的一个权限控制模型。核心思路：将某个对象的某种权限授予某个用户或某种角色，他们之间的关系是多对多，即一个用户/角色可以具备某个对象的多种权限，某个对象的权限也可以被多个用户/角色所持有。
用户表
权限表
角色表
直接给用户授权，1:N​
角色跟权限绑定，1:N​
给用户赋予角色​，1:N
如油炸小波是普通用户
油炸大波是管理员
权限如：可删除数据、有excel导入权限等
ACL使用非常简单，在搞明白原理之后，开发者可以不用任何权限框架就可以快速实现ACL权限模式。当然Spring Security也为ACL提供了相应的依赖：spring-security-acl，如果项目有使用可以直接添加此依赖。
RBAC权限模型
RBAC（Role-based access control）基于角色的访问控制，是一种较新且广为使用的权限控制机制，这种机制不是直接给用户赋予权限，而是将权限赋予角色。（看到这读者们是不是觉得跟ACL有相似之处呢）
RBAC将用户按角色进行归类，通过用户的角色来确定用户对某项资源是否具备操作权限。RBAC简化了用户与权限的管理，它将用户与角色关联、角色与权限关联、权限与资源关联，这种模式使得用户的授权管理变得非常简单和易于维护。RBAC权限模型有三个主要原则：
（1）最小权限：给角色配置的权限是其完成任务所需要的最小权限集合
（2）职责分离：通过相互独立互斥的角色来共同完成任务，即不能一个角色有重复功能，有这种场景就给一个用户赋予多个角色
（3）数据抽象：通过权限的抽象来体现
RBAC权限模型分类
RBAC0
在RBAC0中，一个用户可以具备多个角色，一个角色可以具备多个权限。如下图
用户表
角色表
1：n​
权限表
1：n​
访问合集
1：n​
1:1​
用户所具备的权限是用户所具备角色的权限合集
RBAC1
RBAC1是在RBAC0的技术基础之上建立的，主要是增加了角色的继承关系，让角色有了上下级。如下图
用户表
角色表
1：n​
权限表
1：n​
访问合集
1：n​
1:1​
用户所具备的权限是用户所具备角色的权限合集
0：n​
RBAC2
RBAC2也是在RBAC0的技术基础之上建立的，引入了静态职责分离和动态职责分离。
角色互斥：在实际项目中有一些角色是互斥的，如财务就不能自己报账自己审批，对于这个角色一般不能和其他角色见人。通过职责分离可以解决这一问题。
静态职责分离：在权限配置阶段就做限制。如同一个用户不能被授予互斥的角色，授予时做互斥判断。
动态职责分离：运行阶段进行限制。如一个用户即使有多个角色，代码也会实时判断其真正有效的角色是几个。
用户表
角色表
1：n​
权限表
1：n​
访问合集
1：n​
1:1​
用户所具备的权限是用户所具备角色的权限合集
静态职责分离
​
​
动态职责分离
​
​