推荐一篇不错的权限管理综述的文章

前几天没事在网上搜权限的文章，找到一篇文章见附件，稍微浏览了一下觉得很不错，特别是对像我一样权限管理有一些了解但还没形成系统的朋友，我觉得会有不少帮助。但是这片文章是个working draft,我没找到出处。希望有牛人把正式版的搜出来（不过不一定有，这个draft貌似是20090826的日期），^_^
如果这个看完还不过瘾的话，当然是再结合RBAC(<Role-based Access Control>)看看啦。


我去查资料的原因是我觉得论坛中常提到的“数据权限”的说法以及ACL概念的滥用令我困惑，文中提到的ABAC应该能更好的阐述这个概念把？

另外我觉得RBAC中的role着重的是对permission做抽象，包括他的rbac0，rbac1，rbac2，rbac3都是在这方面做文章，而在另一头的subject及user上缺少足够的变化。


btw,新手请教：除了山头多出一倍,圈子和论坛还有咩区别？

评论

11 楼 济南找啊 2010-02-04  

哈哈不错谢谢了 我下来慢慢看看

10 楼 bcsj123 2010-02-03  

我是英文盲，请大侠们翻译一下，

   谢先。

9 楼 wanglantao 2009-10-10  

谢谢你！收藏了。

8 楼 love_ai87 2009-10-10  

以前也接触过RBAC，但是觉得RBAC的过于粗狂，是通过菜单控制，而不是页面的按钮。不知道是不是我接触的不够深入~~

7 楼 keer2345 2009-10-09  

Oh~my god ,  this is a english article.
Anybody can translate this article for us that poor in english, hehe~

6 楼 laitaogood 2009-10-09  

我来翻译第一句，呵呵

引用

对于现代企业来说，电脑系统以及由它创建、运行、传输和存储的信息已经变得必不可少了。
下文略……

5 楼 qiren83 2009-10-09  

我晕 全英文的呀
相关技术本来就不太熟 全英的看得头晕

不如这样吧 每楼翻译一页行不行呀？楼下的

4 楼 bdceo 2009-10-09  

还是英文的啊，稍微有点儿吃力啊看起来...

3 楼 timshaw9791 2009-10-08  

whaosoft 写道

请问 这个 "文中提到的ABAC" 和 "我觉得RBAC中的" 是一个东西吗??
不过还是不明白你哪不懂?

RBAC和ABAC当然不是一个东西，
打个比方，RBAC是静态编译，ABAC就是动态编联。RBAC是静态语言，ABAC就是表达能力更强的动态语言。
RBAC中最核心的Role概念是“一组权限(Permission) ”的集合，这样就提升对权限的概括能力，从而获得了比ACL更好的表达多种安全策略的能力。
但是实际上还有很多东西不仅需要对权限进行更好的概括，随便举个例子：“只有工龄大于3年的老员工才能申请高工”。
仅仅用RBAC是搞不定的，第一对这个“申请高工”的权限进行抽象形成一个角色意义看起来也不是很大；第二，我们需要表达“工龄大于3年的老员工”的能力，这实际上是对User/Subject的一种概括。
而ABAC就是这种比RBAC表达能力更强的权限领域模型,你可以预先给他定义一个上下文Context，在这个上下文中进行更灵活的表达，然后在运行时Runtime中给定一个Context实例，在这个Context实例的基础上进行权限检查。名字很重要，ABAC比滥用的“数据权限”要贴切的多，更不是那个用来衬托RABC伟大的专用绿叶ACL能够随便代换的。

我的困惑就是这里还有不少人在讨论的时候随意用acl和数据权限来随便替代abac。

2 楼 whaosoft 2009-10-08  

我去查资料的原因是我觉得论坛中常提到的“数据权限”的说法以及ACL概念的滥用令我困惑，文中提到的ABAC应该能更好的阐述这个概念把？

另外我觉得RBAC中的role着重的是对permission做抽象，包括他的rbac0，rbac1，rbac2，rbac3都是在这方面做文章，而在另一头的subject及user上缺少足够的变化。


请问 这个 "文中提到的ABAC" 和 "我觉得RBAC中的" 是一个东西吗??
不过还是不明白你哪不懂?

1 楼 wei495715356 2009-10-07  

不错。
谢谢了。