立即前往

活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
  • 智算采购季 热销S6云服务器2核4G限时88元/年起,部分主机可加赠对象存储组合包!
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 一键部署Llama3大模型学习机 0代码一键部署,预装最新主流大模型Llama3与StableDiffusion
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 产品能力
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
    • 关系数据库SQL Server版
    • 企业主机安全
    • 云防火墙
    • CDN加速
    • 物理机
    • GPU云主机
    • 天翼云电脑(政企版)
    • 天翼云电脑(公众版)
    • 云主机备份
    • 弹性云主机
      搜索发现
      关系数据库SQL Server版企业主机安全云防火墙CDN加速物理机GPU云主机天翼云电脑(政企版)天翼云电脑(公众版)云主机备份弹性云主机
    • 文档
    • 控制中心
    • 备案
    • 管理中心
    • 登录
    • 免费注册

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    首页 知识中心 云计算 文章详情页

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    2024-10-21 09:43:53 阅读次数:28

    权限,用户,角色

    在软件工程中,就像其他很多领域一样,设计和实现一个授权系统有很多种方法。授权系统为应用增加了一个安全和验证的层级,让你可以控制谁能访问哪些资源,确保只有授权的用户才能看到特定的内容。

    授权显然是大多数系统中的关键功能之一,所以在设计系统时,这部分真的需要认真对待。

    你可以自己发明一种授权机制,但利用利用他人已有的解决方案往往能省下不少时间和精力。

    对于SaaS产品,常见的授权设计主要有以下三种。每种方案都有它的优点和不足,所以它们各自适用的场景也不同。

    首先需要说明的是,这些授权模型都不是一成不变的。

    这里讨论的每个例子仅仅是实现这种授权方式的一种可能方法。

    访问控制列表

    ACL(Access Control List,访问控制列表)可能是最简单的授权模型了。

    它通过维护一个用户列表,来记录哪些用户被允许执行特定操作。

    对于那些不需要特别细粒度权限控制的简单系统,ACL 是个有效的授权方式。

    举个例子,假如你在系统里实现了基本的 ACL 授权,下面这个图表就展示了你的数据库架构可能的样子:

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    图中的标签是“用户”和“权限”。一个用户可以有0个或多个权限。使用这种设计,权限是比较随意的,用户与权限之间的连接也很灵活。

    ACL 的主要优势在于它的简单性。对于很多系统来说,实施和维护起来都相对快速且成本低。如果你的系统需求不复杂、规模较小,采用这种设计确实挺好,因为它不需要太多复杂的功能。

    但正因为 ACL 简单,最大的缺点恰恰是它的简单性。随着系统的成长和扩展,ACL 的简单性可能会变成问题。

    因为权限是直接和特定用户关联的,所以当有新用户加入时,可能得手动给他们分配权限。而且,如果你需要为所有现有用户添加或删除权限,这项工作也会变得很繁重。

    当你的系统需求超出了简单ACL的能力时,你可能就需要升级到更复杂的设计模式,比如 RBAC(基于角色的访问控制)。

    基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制)比ACL更复杂,但也更强大、更灵活,特别适合某些特定的场景。

    通过RBAC,你可以为用户分配角色,然后根据这些角色来决定他们应该被允许访问的内容。

    举个例子,你可以设置一个“财务”角色,授予该角色访问系统中财务部分的权限,或者设置一个“支持”角色,授予其访问帮助台相关内容的权限。

    角色的具体工作方式取决于你的实现需求。你可以让一个用户拥有多个角色,也可以根据具体场景限制用户只能拥有一个角色。

    下面这个图表展示了如果你实现了 RBAC,数据库架构可能会是什么样子:

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    在这种设计中,有三个主要元素:“用户”、“角色”和“权限”,它们之间通过中间表来建立关联。

    这种结构允许一个用户关联多个角色,每个角色则可以分配多个权限。权限通常是相对广泛的,比如“查看报告”或“编辑用户”,而不是针对单个资源的细粒度权限(这更属于 ABAC的领域,稍后会提到)。

    RBAC有几个显著的优点,首先是实现的相对简单性。虽然比起简单的ACL,RBAC的设计稍微复杂一些,但它依然比ABAC和其他高级授权模型要简单得多。这使得它更容易实现,且长期的维护和支持成本较低。

    RBAC的简单性也表现在日常使用中。因为权限都是通过角色绑定的,你在为新用户设置访问权限时,通常只需要为其分配合适的角色即可,而不需要记住复杂的规则。

    这和ACL 不同,ACL中可能需要手动修改用户权限。

    RBAC的一个主要风险是可能会出现所谓的“角色爆炸”问题。当系统需要越来越细粒度的控制时,通常的解决方案是创建更多的角色。

    这会导致两个问题:

    1. 多角色管理的复杂性:如果系统允许用户同时拥有多个角色,为了满足各种权限需求,可能会创建大量新角色,每个角色可能只有少量的权限。这会增加管理和维护的复杂性。
    2. 重复角色的增多:如果系统不允许用户拥有多个角色,那么为了满足不同用户的需求,可能会导致创建大量几乎相同但又稍有不同的角色。这不仅让系统难以管理,还增加了角色的重复和冗余。

    这两个问题都不理想,正是因为RBAC在处理细粒度权限方面的局限性。这也意味着,当系统需要更精细的权限控制时,RBAC可能不再是最佳选择,可能需要考虑更复杂的模型,如属性基访问控制(ABAC)。

    基于属性的访问控制

    ABAC(Attribute-Based Access Control)是一种访问控制模型,它根据用户、资源、环境等属性来决定是否授予访问权限。

    与传统的授权模型(如 ACL 和 RBAC)相比,ABAC 提供了更细粒度的权限控制,允许基于上下文信息进行动态决策。

    1.核心概念

    ABAC 的核心在于通过属性来控制访问权限。这些属性可以来自于多种来源:

    • 用户属性:用户的身份、角色、组织部门、职位等信息。
    • 资源属性:资源的类型、分类、所有者、敏感性等级等信息。
    • 环境属性:访问的时间、地点、设备类型等外部因素。

    这些属性用于制定访问控制策略,决定用户是否可以访问特定的资源。

    2.如何工作

    在 ABAC 模型中,授权决策是基于一组定义好的访问控制策略,这些策略通常使用逻辑表达式来描述。策略的形式可以是规则、条件或逻辑运算符,结合了用户、资源和环境的属性。例如,策略可能会规定:

    • “只有当用户属于‘财务部门’并且访问的资源是‘财务报告’时,用户才被允许访问该报告。”
    • “在工作时间内(上午9点到下午5点),用户才能访问敏感信息。”

    3.数据库架构示例

    实现ABAC时,数据库通常包含以下表:

    • 用户表:存储用户的基本信息和属性。
    • 角色表(可选):如果系统中使用角色,还需记录角色与属性的关系。
    • 资源表:记录系统中所有资源的属性。
    • 环境表:记录与环境相关的数据,如时间段、地理位置等。
    • 策略表:定义访问控制策略,包括属性和条件。

    下面是一个可能的数据库架构,展示了如何实现ABAC:

    SaaS产品的三种常见授权架构设计:ACL、RBAC和ABAC

    ABAC非常灵活,但也充满了主观性。因为授权评估是基于系统中定义的属性,没有一个通用的架构适用于所有情况。

    在上面的例子中,你可以看到有“用户”以及“角色”、“区域”和“客户”,还有客户与区域以及数据的关联。

    在这种设计下,你可能需要对用户访问客户数据的权限进行控制,比如在以下条件都满足时才允许访问:

    • 用户具有管理员角色
    • 用户具有客户支持角色
    • 用户与数据所属的客户在同一区域
    • 数据未被标记为敏感

    这些条件基于对象的属性,而不是具体的访问记录或权限,这正是 ABAC 的核心特征。

    虽然这种设计的实现难度更大,但它的强大之处在于,对于复杂业务逻辑的大型组织来说,ABAC通常是不可或缺的。

    ABAC的优势在于它的灵活性。通过基于属性来创建访问策略,组织可以对谁能访问什么资源进行非常细致的控制。而且,ABAC 的扩展性也非常好,因为当新用户加入时,你只需为他们分配合适的属性,而无需修改现有的策略。这确保了他们可以访问所需的资源来执行工作。

    然而,ABAC也有其局限性。要决定是否采用 ABAC作为你的授权设计,关键在于权衡成本——不仅是财务上的投入,还包括时间、实现的复杂度,以及后续维护的难度。

    由于 ABAC的设计较为复杂,如果你从零开始实现,可能会耗费更多的精力。

    总结

    以上是三种不同的 SaaS 应用授权实现模型。每种模型都有自己的优缺点。

    • ACL:简单直观,适用于小型系统。它易于实现,但当系统规模扩大时,权限管理可能变得繁琐,扩展性较差。
    • RBAC:通过将权限与角色关联,解决了ACL的一些局限。它适合小型到中型系统,尤其是那些超出了ACL能力的系统。然而,RBAC在处理细粒度权限时有所不足,可能会面临“角色爆炸”的问题。
    • ABAC:提供了更高的灵活性和细粒度的权限配置,适合复杂的业务需求。尽管ABAC能够满足高复杂度的授权需求,但其实现和维护的复杂性以及成本也较高。
    版权声明:本文内容来自第三方投稿或授权转载,原文地址:https://blog.51cto.com/tntxia/11925844,作者:虾王之王,版权归原作者所有。本网站转在其作品的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如因作品内容、版权等问题需要同本网站联系,请发邮件至ctyunbbs@chinatelecom.cn沟通。

    上一篇:Flowable实战(三)流程部署管理

    下一篇:计算机网络_1

    相关文章

    2025-04-23 08:18:21

    【Linux】密码策略、连接空闲超时时间设置

    【Linux】密码策略、连接空闲超时时间设置

    2025-04-23 08:18:21
    Linux , 密码 , 用户 , 策略
    2025-04-18 07:10:53

    Kerberos基础理论

    Kerberos是一个网络身份验证协议,用于在计算机网络中安全地进行身份验证和授权。它最初由麻省理工学院(MIT)开发,并成为了许多操作系统和应用程序的标准认证协议。

    2025-04-18 07:10:53
    客户端 , 密钥 , 用户 , 认证 , 身份验证
    2025-04-18 07:10:53

    LDAP基础理论

    分布式目录服务是一种用于存储和管理大量数据的系统,其中数据以层次结构的方式组织,并在多个服务器之间进行分布。它提供了一种集中式访问和管理数据的方法,使得用户可以通过网络连接到任何一个服务器来查询、添加、修改或删除存储在该目录中的信息。

    2025-04-18 07:10:53
    LDAP , 分布式 , 属性 , 服务器 , 用户 , 目录
    2025-04-18 07:10:38

    设计模式-工厂模式

    工厂模式是一种在软件工程中广泛使用的设计模式,其核心思想是使用一个工厂类来负责创建其他类的实例,通常用来创建一系列具有相同接口的对象。在 JavaScript 中,工厂模式可以帮助我们管理和维护创建对象的代码,尤其是当对象创建逻辑比较复杂或者对象类型根据场景的不同而变化时。

    2025-04-18 07:10:38
    JavaScript , 代码 , 创建 , 对象 , 工厂 , 模式 , 用户
    2025-04-18 07:10:30

    深入解析 Spring Security —— 打造高效安全的权限管理体系

    Spring Security 是一个专注于认证与授权的安全框架,致力于保护 Web 应用程序的资源安全。通过高度灵活的配置和模块化的设计,它能够满足各种复杂的安全需求。

    2025-04-18 07:10:30
    Security , Spring , 权限 , 用户 , 角色 , 认证 , 配置
    2025-04-16 09:26:45

    Linux中ps命令使用指南

    ps命令代表"process status",是用于查看当前系统运行进程信息的重要工具。通过讲解什么是ps命令及其作用,并深入说明如何使用不同选项参数和结合其他命令,本文旨在帮助读者全面了解并掌握ps命令,使其能够有效地监控和管理系统中正在运行的进程。

    2025-04-16 09:26:45
    使用 , 名称 , 命令 , 用户 , 进程 , 选择
    2025-04-16 09:26:27

    prometheus使用的ClusterRole等RBAC对象

    基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。

    2025-04-16 09:26:27
    API , prometheus , 使用 , 对象 , 权限
    2025-04-15 09:19:55

    高性能、高可靠性!Kafka的技术优势与应用场景全解析

    Kafka的高吞吐量表现堪称惊人。单机每秒处理几十上百万的消息量,即使存储了TB级别的消息,它依然能够保持稳定的性能。

    2025-04-15 09:19:55
    Kafka , 数据 , 日志 , 消息 , 消费者 , 用户 , 磁盘
    2025-04-14 09:24:14

    oracle查询某用户授予出去以及被授予的对象权限

    oracle查询某用户授予出去以及被授予的对象权限

    2025-04-14 09:24:14
    oracle , 权限 , 查询 , 用户
    2025-04-14 09:24:14

    被授予references权限后的revoke测试

    被授予references权限后的revoke测试

    2025-04-14 09:24:14
    权限 , 测试
    查看更多
    推荐标签

    作者介绍

    天翼云小翼
    天翼云用户

    文章

    32777

    阅读量

    4801756

    查看更多

    最新文章

    LDAP基础理论

    2025-04-18 07:10:53

    Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题

    2025-03-06 09:15:52

    【操作系统】详细介绍操作系统的基本概念

    2024-12-24 10:17:17

    操作系统简介

    2024-12-19 09:33:37

    基于Java的电影院订票管理系统设计与实现(源码+lw+部署文档+讲解等)

    2024-12-04 08:11:57

    基于Java的小说下载网站管理系统设计与实现(源码+lw+部署文档+讲解等)

    2024-12-04 07:30:07

    查看更多

    热门文章

    使用Squid部署代理服务

    2024-07-01 01:32:15

    服务账号、域账号和计算机账号的区别

    2024-04-16 08:56:36

    排队叫号系统的计算

    2024-05-17 07:20:42

    基于SpringBoot+Vue的酒店客房管理系统 的详细设计和实现(源码+lw+部署文档+讲解等)

    2024-10-11 09:12:50

    基于SpringBoot+Vue的酒店管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    2024-10-14 06:08:31

    基于SpringBoot+Vue的家政平台的详细设计和实现(源码+lw+部署文档+讲解等)

    2024-10-11 09:12:50

    查看更多

    热门标签

    系统 测试 用户 分布式 Java java 计算机 docker 代码 数据 服务器 源码 数据库 管理 算法
    查看更多

    相关产品

    弹性云主机

    随时自助获取、弹性伸缩的云服务器资源

    天翼云电脑(公众版)

    便捷、安全、高效的云电脑服务

    对象存储

    高品质、低成本的云上存储服务

    云硬盘

    为云上计算资源提供持久性块存储

    查看更多

    随机文章

    基于SpringBoot+Vue的客户关系管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的采购管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的中医药店管理系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的城市公交查询系统的详细设计和实现(源码+lw+部署文档+讲解等)

    基于SpringBoot+Vue的毕业设计系统的开发设计实现(源码+lw+部署文档+讲解等)

    基于Java的博客管理系统设计与实现(源码+lw+部署文档+讲解等)

    • 7*24小时售后
    • 无忧退款
    • 免费备案
    • 专家服务
    售前咨询热线
    400-810-9889转1
    关注天翼云
    • 权益商城
    • 天翼云APP
    • 天翼云微信公众号
    服务与支持
    • 备案中心
    • 售前咨询
    • 智能客服
    • 自助服务
    • 工单管理
    • 客户公告
    • 涉诈举报
    账户管理
    • 管理中心
    • 订单管理
    • 余额管理
    • 发票管理
    • 充值汇款
    • 续费管理
    快速入口
    • 权益商城
    • 文档中心
    • 最新活动
    • 免费试用
    • 信任中心
    • 天翼云学堂
    云网生态
    • 甄选商城
    • 渠道合作
    • 云市场合作
    了解天翼云
    • 关于天翼云
    • 天翼云APP
    • 服务案例
    • 新闻资讯
    • 联系我们
    热门产品
    • 云电脑
    • 弹性云主机
    • 云电脑政企版
    • 天翼云手机
    • 云数据库
    • 对象存储
    • 云硬盘
    • Web应用防火墙
    • 服务器安全卫士
    • CDN加速
    热门推荐
    • 云服务备份
    • 边缘安全加速平台
    • 全站加速
    • 安全加速
    • 云服务器
    • 云主机
    • 智能边缘云
    • 应用编排服务
    • 微服务引擎
    • 共享流量包
    更多推荐
    • web应用防火墙
    • 密钥管理
    • 等保咨询
    • 安全专区
    • 应用运维管理
    • 云日志服务
    • 文档数据库服务
    • 云搜索服务
    • 数据湖探索
    • 数据仓库服务
    友情链接
    • 中国电信集团
    • 189邮箱
    • 天翼企业云盘
    • 天翼云盘
    ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
    公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
    • 用户协议
    • 隐私政策
    • 个人信息保护
    • 法律声明
    备案 京公网安备11010802043424号 京ICP备 2021034386号