活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 一键部署Llama3大模型学习机 0代码一键部署,预装最新主流大模型Llama3与StableDiffusion
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
    • 关系数据库SQL Server版
    • 企业主机安全
    • 云防火墙
    • CDN加速
    • 物理机
    • GPU云主机
    • 天翼云电脑(政企版)
    • 天翼云电脑(公众版)
    • 云主机备份
    • 弹性云主机
      搜索发现
      关系数据库SQL Server版企业主机安全云防火墙CDN加速物理机GPU云主机天翼云电脑(政企版)天翼云电脑(公众版)云主机备份弹性云主机
    • 文档
    • 控制中心
    • 备案
    • 管理中心
    • 登录
    • 免费注册

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    首页 知识中心 云计算 文章详情页

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    2024-10-21 09:43:53 阅读次数:29

    权限,用户,角色

    在软件工程中,就像其他很多领域一样,设计和实现一个授权系统有很多种方法。授权系统为应用增加了一个安全和验证的层级,让你可以控制谁能访问哪些资源,确保只有授权的用户才能看到特定的内容。

    授权显然是大多数系统中的关键功能之一,所以在设计系统时,这部分真的需要认真对待。

    你可以自己发明一种授权机制,但利用利用他人已有的解决方案往往能省下不少时间和精力。

    对于SaaS产品,常见的授权设计主要有以下三种。每种方案都有它的优点和不足,所以它们各自适用的场景也不同。

    首先需要说明的是,这些授权模型都不是一成不变的。

    这里讨论的每个例子仅仅是实现这种授权方式的一种可能方法。

    访问控制列表

    ACL(Access Control List,访问控制列表)可能是最简单的授权模型了。

    它通过维护一个用户列表,来记录哪些用户被允许执行特定操作。

    对于那些不需要特别细粒度权限控制的简单系统,ACL 是个有效的授权方式。

    举个例子,假如你在系统里实现了基本的 ACL 授权,下面这个图表就展示了你的数据库架构可能的样子:

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    图中的标签是“用户”和“权限”。一个用户可以有0个或多个权限。使用这种设计,权限是比较随意的,用户与权限之间的连接也很灵活。

    ACL 的主要优势在于它的简单性。对于很多系统来说,实施和维护起来都相对快速且成本低。如果你的系统需求不复杂、规模较小,采用这种设计确实挺好,因为它不需要太多复杂的功能。

    但正因为 ACL 简单,最大的缺点恰恰是它的简单性。随着系统的成长和扩展,ACL 的简单性可能会变成问题。

    因为权限是直接和特定用户关联的,所以当有新用户加入时,可能得手动给他们分配权限。而且,如果你需要为所有现有用户添加或删除权限,这项工作也会变得很繁重。

    当你的系统需求超出了简单ACL的能力时,你可能就需要升级到更复杂的设计模式,比如 RBAC(基于角色的访问控制)。

    基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制)比ACL更复杂,但也更强大、更灵活,特别适合某些特定的场景。

    通过RBAC,你可以为用户分配角色,然后根据这些角色来决定他们应该被允许访问的内容。

    举个例子,你可以设置一个“财务”角色,授予该角色访问系统中财务部分的权限,或者设置一个“支持”角色,授予其访问帮助台相关内容的权限。

    角色的具体工作方式取决于你的实现需求。你可以让一个用户拥有多个角色,也可以根据具体场景限制用户只能拥有一个角色。

    下面这个图表展示了如果你实现了 RBAC,数据库架构可能会是什么样子:

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    在这种设计中,有三个主要元素:“用户”、“角色”和“权限”,它们之间通过中间表来建立关联。

    这种结构允许一个用户关联多个角色,每个角色则可以分配多个权限。权限通常是相对广泛的,比如“查看报告”或“编辑用户”,而不是针对单个资源的细粒度权限(这更属于 ABAC的领域,稍后会提到)。

    RBAC有几个显著的优点,首先是实现的相对简单性。虽然比起简单的ACL,RBAC的设计稍微复杂一些,但它依然比ABAC和其他高级授权模型要简单得多。这使得它更容易实现,且长期的维护和支持成本较低。

    RBAC的简单性也表现在日常使用中。因为权限都是通过角色绑定的,你在为新用户设置访问权限时,通常只需要为其分配合适的角色即可,而不需要记住复杂的规则。

    这和ACL 不同,ACL中可能需要手动修改用户权限。

    RBAC的一个主要风险是可能会出现所谓的“角色爆炸”问题。当系统需要越来越细粒度的控制时,通常的解决方案是创建更多的角色。

    这会导致两个问题:

    1. 多角色管理的复杂性:如果系统允许用户同时拥有多个角色,为了满足各种权限需求,可能会创建大量新角色,每个角色可能只有少量的权限。这会增加管理和维护的复杂性。
    2. 重复角色的增多:如果系统不允许用户拥有多个角色,那么为了满足不同用户的需求,可能会导致创建大量几乎相同但又稍有不同的角色。这不仅让系统难以管理,还增加了角色的重复和冗余。

    这两个问题都不理想,正是因为RBAC在处理细粒度权限方面的局限性。这也意味着,当系统需要更精细的权限控制时,RBAC可能不再是最佳选择,可能需要考虑更复杂的模型,如属性基访问控制(ABAC)。

    基于属性的访问控制

    ABAC(Attribute-Based Access Control)是一种访问控制模型,它根据用户、资源、环境等属性来决定是否授予访问权限。

    与传统的授权模型(如 ACL 和 RBAC)相比,ABAC 提供了更细粒度的权限控制,允许基于上下文信息进行动态决策。

    1.核心概念

    ABAC 的核心在于通过属性来控制访问权限。这些属性可以来自于多种来源:

    • 用户属性:用户的身份、角色、组织部门、职位等信息。
    • 资源属性:资源的类型、分类、所有者、敏感性等级等信息。
    • 环境属性:访问的时间、地点、设备类型等外部因素。

    这些属性用于制定访问控制策略,决定用户是否可以访问特定的资源。

    2.如何工作

    在 ABAC 模型中,授权决策是基于一组定义好的访问控制策略,这些策略通常使用逻辑表达式来描述。策略的形式可以是规则、条件或逻辑运算符,结合了用户、资源和环境的属性。例如,策略可能会规定:

    • “只有当用户属于‘财务部门’并且访问的资源是‘财务报告’时,用户才被允许访问该报告。”
    • “在工作时间内(上午9点到下午5点),用户才能访问敏感信息。”

    3.数据库架构示例

    实现ABAC时,数据库通常包含以下表:

    • 用户表:存储用户的基本信息和属性。
    • 角色表(可选):如果系统中使用角色,还需记录角色与属性的关系。
    • 资源表:记录系统中所有资源的属性。
    • 环境表:记录与环境相关的数据,如时间段、地理位置等。
    • 策略表:定义访问控制策略,包括属性和条件。

    下面是一个可能的数据库架构,展示了如何实现ABAC:

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    ABAC非常灵活,但也充满了主观性。因为授权评估是基于系统中定义的属性,没有一个通用的架构适用于所有情况。

    在上面的例子中,你可以看到有“用户”以及“角色”、“区域”和“客户”,还有客户与区域以及数据的关联。

    在这种设计下,你可能需要对用户访问客户数据的权限进行控制,比如在以下条件都满足时才允许访问:

    • 用户具有管理员角色
    • 用户具有客户支持角色
    • 用户与数据所属的客户在同一区域
    • 数据未被标记为敏感

    这些条件基于对象的属性,而不是具体的访问记录或权限,这正是 ABAC 的核心特征。

    虽然这种设计的实现难度更大,但它的强大之处在于,对于复杂业务逻辑的大型组织来说,ABAC通常是不可或缺的。

    ABAC的优势在于它的灵活性。通过基于属性来创建访问策略,组织可以对谁能访问什么资源进行非常细致的控制。而且,ABAC 的扩展性也非常好,因为当新用户加入时,你只需为他们分配合适的属性,而无需修改现有的策略。这确保了他们可以访问所需的资源来执行工作。

    然而,ABAC也有其局限性。要决定是否采用 ABAC作为你的授权设计,关键在于权衡成本——不仅是财务上的投入,还包括时间、实现的复杂度,以及后续维护的难度。

    由于 ABAC的设计较为复杂,如果你从零开始实现,可能会耗费更多的精力。

    总结

    以上是三种不同的 SaaS 应用授权实现模型。每种模型都有自己的优缺点。

    • ACL:简单直观,适用于小型系统。它易于实现,但当系统规模扩大时,权限管理可能变得繁琐,扩展性较差。
    • RBAC:通过将权限与角色关联,解决了ACL的一些局限。它适合小型到中型系统,尤其是那些超出了ACL能力的系统。然而,RBAC在处理细粒度权限时有所不足,可能会面临“角色爆炸”的问题。
    • ABAC:提供了更高的灵活性和细粒度的权限配置,适合复杂的业务需求。尽管ABAC能够满足高复杂度的授权需求,但其实现和维护的复杂性以及成本也较高。
    版权声明:本文内容来自第三方投稿或授权转载,原文地址:https://blog.51cto.com/tntxia/11925844,作者:虾王之王,版权归原作者所有。本网站转在其作品的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如因作品内容、版权等问题需要同本网站联系,请发邮件至ctyunbbs@chinatelecom.cn沟通。

    上一篇:Flowable实战(三)流程部署管理

    下一篇:计算机网络_1

    相关文章

    2025-05-19 09:04:30

    TNS-01189: 监听程序无法验证用户

    TNS-01189: 监听程序无法验证用户

    2025-05-19 09:04:30
    用户 , 监听 , 验证
    2025-05-19 09:04:30

    开源与闭源:AI模型发展的两条路径

    开源与闭源:AI模型发展的两条路径

    2025-05-19 09:04:30
    开源 , 模型 , 用户
    2025-05-14 10:33:16

    30天拿下Python之文件操作

    Python是一种高级编程语言,它提供了许多内置函数和模块来处理文件操作,主要包括:打开文件、读取文件、写入文件、关闭文件、获取目录列表等。

    2025-05-14 10:33:16
    Python , 使用 , 函数 , 文件 , 权限 , 目录
    2025-05-14 10:03:05

    Oracle数据库用户权限分析

    Oracle数据库用户权限分析

    2025-05-14 10:03:05
    Oracle , 分析 , 数据库 , 权限 , 用户
    2025-05-14 10:02:48

    SQL Server 账号管理1

    SQL Server 账号管理主要包含登录名、用户、架构、角色等管理。通过对账号的管理可以有效的提高数据库系统的安全性,规范运维及使用。

    2025-05-14 10:02:48
    Server , SQL , 对象 , 数据库 , 权限 , 用户
    2025-05-13 09:49:19

    脚本交互_脚本外交互_read基础

    脚本交互_脚本外交互_read基础

    2025-05-13 09:49:19
    read , 命令 , 基础知识 , 实践 , 小结 , 用户 , 输入
    2025-05-09 08:50:35

    springboot实战学习(11)(更新用户基本信息接口主逻辑)

    springboot实战学习(11)(更新用户基本信息接口主逻辑)

    2025-05-09 08:50:35
    接口 , 方法 , 更新 , 用户 , 请求
    2025-05-08 09:03:21

    javaWeb基于SSM框架开发的社区医疗数据管理系统【项目源码+数据库脚本+报告】

    本项目是一套基于SSM框架开发的社区医疗数据管理系统,主要针对计算机相关专业的正在做bishe的学生和需要项目实战练习的Java学习者。

    2025-05-08 09:03:21
    数据库 , 用户 , 页面 , 项目
    2025-05-07 09:10:01

    MySQL—多表查询—多表关系介绍

    MySQL—多表查询—多表关系介绍

    2025-05-07 09:10:01
    关系 , 外键 , 多表 , 查询 , 案例 , 用户
    2025-05-07 09:10:01

    基础—SQL—DCL(数据控制语言)之权限控制

    基础—SQL—DCL(数据控制语言)之权限控制

    2025-05-07 09:10:01
    主机名 , 数据库 , 权限 , 查询 , 用户
    查看更多
    推荐标签

    作者介绍

    天翼云小翼
    天翼云用户

    文章

    33564

    阅读量

    5016121

    查看更多

    最新文章

    LDAP基础理论

    2025-04-18 07:10:53

    Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题

    2025-03-06 09:15:52

    【操作系统】详细介绍操作系统的基本概念

    2024-12-24 10:17:17

    操作系统简介

    2024-12-19 09:33:37

    基于Java的电影院订票管理系统设计与实现(源码+lw+部署文档+讲解等)

    2024-12-04 08:11:57

    基于Java的蛋糕甜品系统设计与实现(源码+lw+部署文档+讲解等)

    2024-12-04 07:30:07

    查看更多

    热门文章

    使用Squid部署代理服务

    2024-07-01 01:32:15

    服务账号、域账号和计算机账号的区别

    2024-04-16 08:56:36

    排队叫号系统的计算

    2024-05-17 07:20:42

    基于SpringBoot+Vue的酒店客房管理系统 的详细设计和实现(源码+lw+部署文档+讲解等)

    2024-10-11 09:12:50

    基于SpringBoot+Vue的家政平台的详细设计和实现(源码+lw+部署文档+讲解等)

    2024-10-11 09:12:50

    基于SpringBoot+Vue的酒店管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    2024-10-14 06:08:31

    查看更多

    热门标签

    系统 测试 用户 分布式 Java java 计算机 docker 代码 数据 服务器 数据库 源码 管理 算法
    查看更多

    相关产品

    弹性云主机

    随时自助获取、弹性伸缩的云服务器资源

    天翼云电脑(公众版)

    便捷、安全、高效的云电脑服务

    对象存储

    高品质、低成本的云上存储服务

    云硬盘

    为云上计算资源提供持久性块存储

    查看更多

    随机文章

    基于SpringBoot+Vue的社区疫情物资管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的高校大学生评奖评优系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的案件管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于Java的电影院订票管理系统设计与实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的的校园疫情防控系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于Java的4S店汽车商城系统设计与实现(源码+lw+部署文档+讲解等)

    • 7*24小时售后
    • 无忧退款
    • 免费备案
    • 专家服务
    售前咨询热线
    400-810-9889转1
    关注天翼云
    • 权益商城
    • 天翼云APP
    • 天翼云微信公众号
    服务与支持
    • 备案中心
    • 售前咨询
    • 智能客服
    • 自助服务
    • 工单管理
    • 客户公告
    • 涉诈举报
    账户管理
    • 管理中心
    • 订单管理
    • 余额管理
    • 发票管理
    • 充值汇款
    • 续费管理
    快速入口
    • 权益商城
    • 文档中心
    • 最新活动
    • 免费试用
    • 信任中心
    • 天翼云学堂
    云网生态
    • 甄选商城
    • 渠道合作
    • 云市场合作
    了解天翼云
    • 关于天翼云
    • 天翼云APP
    • 服务案例
    • 新闻资讯
    • 联系我们
    热门产品
    • 云电脑
    • 弹性云主机
    • 云电脑政企版
    • 天翼云手机
    • 云数据库
    • 对象存储
    • 云硬盘
    • Web应用防火墙
    • 服务器安全卫士
    • CDN加速
    热门推荐
    • 云服务备份
    • 边缘安全加速平台
    • 全站加速
    • 安全加速
    • 云服务器
    • 云主机
    • 智能边缘云
    • 应用编排服务
    • 微服务引擎
    • 共享流量包
    更多推荐
    • web应用防火墙
    • 密钥管理
    • 等保咨询
    • 安全专区
    • 应用运维管理
    • 云日志服务
    • 文档数据库服务
    • 云搜索服务
    • 数据湖探索
    • 数据仓库服务
    友情链接
    • 中国电信集团
    • 189邮箱
    • 天翼企业云盘
    • 天翼云盘
    ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
    公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
    • 用户协议
    • 隐私政策
    • 个人信息保护
    • 法律声明
    备案 京公网安备11010802043424号 京ICP备 2021034386号