极道
·
ReBAC:兼容DDD的下一代授权模型
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
ReBAC是一种基于关系的访问控制模型,具有高表现力、细粒度和灵活性。它能够准确定义和管理用户的权限和角色,并根据业务领域进行定制。与RBAC和ABAC模型相比,ReBAC具有更好的特点。
🎯
关键要点
- ReBAC是一种基于关系的访问控制模型,具有高表现力、细粒度和灵活性。
- ReBAC能够准确地定义和管理用户的权限和角色,并根据业务领域进行定制。
- ReBAC通过定义参与者和资源之间的关系来定义访问权限。
- ReBAC是集中化、安全的授权管理系统,可以快速应对漏洞和规则更改。
- 在ReBAC中,'权限'和'授权'被视为同义词,'角色'是权限的分组。
- ReBAC的灵活性允许定义非常精细和精确的授权。
- ReBAC可以构建基于角色的系统(RBAC),并是实现RBAC的最佳方式。
- ReBAC的强大语法允许对关系进行分层和代数运算,建立复杂模型。
- ReBAC基于'执行最小权限'和'默认拒绝'原则,默认情况下不授予任何访问权限。
- ReBAC的概念源于Carrie Gates博士的研究论文,谷歌创建了名为'Zanzibar'的授权系统。
- 在ReBAC之前,RBAC和ABAC是主要的授权模式,但存在局限性。
- OpenFGA是一个高性能的授权引擎,结合了ReBAC和ABAC的概念。
- 集中授权可以加快交付、简化审核、降低运营成本,并使团队切换更简单。
➡️
