【问题标题】:javax.annotation.security not Role Based Access Control?javax.annotation.security 不是基于角色的访问控制?
【发布时间】:2013-03-22 07:21:08
【问题描述】:

当我查看Role Based Access Control (RBAC) 时,我看到一个模型,其中用户是一个或多个角色的成员,并且角色拥有授予操作的权限。也就是说,操作(例如方法)必须确保主体授予该操作的权限。主体的角色拥有这些权限。

  [subject] * <-> * [role] * <-> * [permission] * <-> * [operation]

但是,当我查看 javax.annotation.security 包时,它定义了一个更简单的模型,该操作只检查角色名称。据我所知,这不是 RBAC,而是相当于基于组的权限检查。管理员无法将操作分配给角色,但仍坚持开发人员的决定。我预计这会显着增加角色数量并使系统更难维护。

  [subject] * <-> * [role] * <-> * [operation]

我对此的理解是正确的还是我错过了什么?

【问题讨论】:

    标签: java security annotations rbac


    【解决方案1】:

    权限是(资源、操作),而不是[subject] * &lt;-&gt; * [role] * &lt;-&gt; * [permission] * &lt;-&gt; * [operation]

    javax.annotation.security 包是旧的并且不是很灵活。你可以使用 Casbin:https://casbin.org/

    【讨论】:

      猜你喜欢
      • 2010-09-11
      • 2013-08-28
      • 2013-05-08
      • 1970-01-01
      • 2020-02-17
      • 2015-12-09
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多