一、RBAC组成

1. RBAC

RBAC：基于角色的权限访问控制（Role-Based Access Control）

2. RBAC组成

3个基础组成部分，分别是：用户、角色和权限。

RBAC通过定义角色的权限，并对用户授予某个角色从而来控制用户的权限，实现了用户和权限的逻辑分离，极大地方便了权限的管理。

RBAC至少需要三张表：用户表–角色表–权限表（多对多的关系比较合理）
用户表：用来存储用户名和密码，进行登录校验
角色表：对用户角色进行分配，
权限表：存储所有需要进行权限分配的url请求路径

关系：

3. RBAC支持的安全原则

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则

• 最小权限原则：RBAC可以将角色配置成其完成任务所需的最小权限集合
• 责任分离原则：可以通过调用相互独立互斥的角色来共同完成敏感的任务，例如要求一个计账员和财务管理员共同参与统一过账操作
• 数据抽象原则：可以通过权限的抽象来体现，例如财务操作用借款、存款等抽象权限，而不是使用典型的读、写、执行权限

4. RBAC的优缺点

（1）优点：

• 简化了用户和权限的关系
• 易扩展、易维护

（2）缺点：

• RBAC模型没有提供操作顺序的控制机制，这一缺陷使得RBAC模型很难适应哪些对操作次序有严格要求的系统

二、RBAC权限分配

1. RBAC的功能模块

一般在登录系统认证通过后，会先确定该用户的操作权限，判断用户的后续操作是否合法！

• 所有权限的本质是对数据库中表中数据增删改查的操作
• 而这些增删改查的操作是通过前端不同路由，通过get、post、put、delete方法操作数据库的
• 对权限的控制，最简单的方法就是判断当前用户是否可以对指定路由请求操作的权限
• 把角色和这个角色能够访问的 url 和 请求方式进行关联（因为正是的业务逻辑用户权限划分力度可能非常细致）
• 再简单的业务逻辑中一张表就是权限表

2. RBAC权限分配操作过程：

用户登录，通过用户表校验用户名和密码
登录成功，记录用户登录状态，同时查询（通过用户关联的权限表）记录当前用户的权限
访问认证，对每个url的请求事先进行登录状态和权限的验证（可以放在中间件的process_request中，注意设置相应的放行白名单）

3. 后端如何判断用户权限

• 用户发送求方法的url
• 后端首先查询是哪一个用户，然后查询当前用户的角色
• 最后判断这个角色是否可以访问url中的对应方法即可
• 如果这个角色有权限访问这个url就返回数据，不能访问就返回 401状态码