基于角色的访问控制 (RBAC),也称为基于角色的安全性,是一种访问控制方法,可根据最终用户在组织中的角色为其分配权限。RBAC 提供了细粒度的控制,提供了一种简单、可管理的访问管理方法,与单独分配权限相比,这种方法更不容易出错。
这可以降低 网络安全风险,保护 敏感数据,并确保员工只能访问信息并执行他们完成工作所需的操作。这被称为 最小特权原则。
正因为如此,RBAC 在需要根据其角色和职责授予数百甚至数千名员工访问权限的大型组织中很受欢迎。也就是说,它在较小的组织中越来越受欢迎,因为它通常比访问控制列表更容易管理。
在 RBAC 系统中,用户访问配置是基于一个基于共同职责和需求的组(例如营销部门)的需求。这意味着每个角色都有一组给定的权限,并且可以将个人分配给一个或多个角色。
例如,您可以将用户指定为管理员、专家或最终用户,并限制对特定资源或任务的访问。在组织内部,可以为不同的角色提供写访问权限,而其他角色可能只提供查看权限。
用户-角色和角色-权限关系使执行角色分配变得容易,因为各个用户不再具有唯一的访问权限,而是具有与分配给其特定角色或工作职能的权限一致的权限。
例如,如果您将 RBAC 应用到使用 UpGuard的组织,您可以 在UpGuard Vendor Risk上为所有供应商风险管理 员工提供用户帐户 。
通过 RBAC,您可以控制最终用户可以在板级和细粒度级别上执行的操作。您可以指定用户是管理员还是标准用户,并根据用户在组织中的职位调整角色和权限。
核心原则是只为员工分配足够的访问权限来完成他们的工作。
如果员工的工作发生变化,您可能需要为其当前角色组添加和/或删除他们。
通过将用户添加到角色组,用户可以访问该组的所有权限。如果它们被删除,访问将受到限制。还可以为用户分配对某些数据或程序的临时访问权限以完成任务并在之后被删除。
RBAC 的常见示例包括:
在这些角色中的每一个中,可能有一个管理层和一个单独的贡献者层,它们在授予每个角色的各个应用程序内具有不同级别的权限。
实施 RBAC 后,只要您严格遵守角色要求,访问管理就会变得更容易。根据 Research Triangle Institute 为 NIST 提供的 2010 年报告,RBAC 减少了员工停机时间,改进了供应,并提供了高效的访问控制策略管理。
RBAC 的好处包括:
基于角色的访问控制允许您改善安全状况、遵守相关法规并减少运营开销。但是,在整个组织中实施基于角色的访问控制可能很复杂,并且可能会导致利益相关者的抵制。
要实施 RBAC,您应该遵循以下最佳实践:
访问控制措施调节用户权限,例如谁可以查看 计算机系统上的敏感信息 或谁可以在 CRM 中运行特定任务。它们是最小化业务风险的重要组成部分。
访问控制系统可以是物理的(限制对建筑物、房间或服务器的访问)或逻辑控制对数据、文件或网络的数字访问)。
因此,RBAC 模型可以与其他访问控制技术相补充,例如:
RBAC 的替代品包括:
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
我有一个包含模块的模型。我想在模块中覆盖模型的访问器方法。例如:classBlah这显然行不通。有什么想法可以实现吗? 最佳答案 您的代码看起来是正确的。我们正在毫无困难地使用这个确切的模式。如果我没记错的话,Rails使用#method_missing作为属性setter,因此您的模块将优先,阻止ActiveRecord的setter。如果您正在使用ActiveSupport::Concern(参见thisblogpost),那么您的实例方法需要进入一个特殊的模块:classBlah
我正在使用Sequel构建一个愿望list系统。我有一个wishlists和itemstable和一个items_wishlists连接表(该名称是续集选择的名称)。items_wishlists表还有一个用于facebookid的额外列(因此我可以存储opengraph操作),这是一个NOTNULL列。我还有Wishlist和Item具有续集many_to_many关联的模型已建立。Wishlist类也有:selectmany_to_many关联的选项设置为select:[:items.*,:items_wishlists__facebook_action_id].有没有一种方法可以
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
当我在Rails控制台中按向上或向左箭头时,出现此错误:irb(main):001:0>/Users/me/.rvm/gems/ruby-2.0.0-p247/gems/rb-readline-0.4.2/lib/rbreadline.rb:4269:in`blockin_rl_dispatch_subseq':invalidbytesequenceinUTF-8(ArgumentError)我使用rvm来管理我的ruby安装。我正在使用=>ruby-2.0.0-p247[x86_64]我使用bundle来管理我的gem,并且我有rb-readline(0.4.2)(人们推荐的最少
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串
