database - 设计基于角色的访问控制并支持关系

Question

我正在为部分基于角色但确实需要一些访问列表功能和关系访问的访问控制系统设计数据库模型。

我正在为一所学校构建一个网络应用程序(如果重要的话使用 PHP 和 MVC 架构)来管理学生、教师、员工和经理的互动，例如教师奖励学生或一名员工招收或开除学生.我的主要问题是我被要求:1- 为每个用户提供可选的额外权限，而不是他们已经从他们的角色继承的权限。 (=>访问列表)2- 提供一种简单的方法将每个学期的某些学生与某些学生进行匹配，这意味着一位老师应该能够对参加他所教类(class)的学生进行评分，但不能对其他类(class)的其他学生进行评分，而且这个类(class)变化太频繁(2 个月之间)每次更改)。

我正在考虑实现一个标准的基于角色的系统，为每个用户添加一个额外的权限表，并在权限中添加一个名为范围的额外字段，可以选择用另一个表的名称填充(这是由应用程序完成的，而不是db) 其中包含一个连接列表。例如，教师可以有教师 Controller :'scoring' -> method 'new score' -> scope: 'course-user' 这意味着我在 'course-user' 表中搜索教师 ID 和任何其他用户 ID相同的 courseid，并允许教师为任何与教师共享 courseid 的学生提交新分数。这是我的模型:

这是正确的方法吗？我应该为每个新的共享连接创建新表还是将它们全部放在一个表中？感谢任何帮助或至少是针对此问题的标准解决方案的指导。

Answer 1

您不应该为访问控制实现数据库模型。您的数据库模型应该包含您关心的对象(学生、教师、类(class)……)。其余部分应表示为外部化授权模型中的策略。这称为基于属性的访问控制 abac .它也称为基于策略的访问控制 (PBAC)。不同的名称，相同的东西。

在 ABAC 中，一方面有属性(数据库模型中表的字段，例如用户名、角色、类(class)年份...)，另一方面有策略。例如:

• 教师可以在他们教授的类(class)中编辑学生的成绩
• 学生可以查看自己的成绩
• 学生可以查看他们所属类(class)的类(class)资料

所有这些都是(业务)授权政策的例子。

在 ABAC 中，您有一个策略决策点 (PDP) 的概念，它评估授权策略和一个策略执行点 (PEP)，它拦截业务请求并将授权请求发送到 PDP。例如:

• 学生 Alice 可以查看成绩 #123 吗？
• 老师 Bob 可以查看学生 Alice 的个人资料吗？

PDP 回复一个决定，要么允许要么拒绝，然后 PEP 必须强制执行。您提到您的应用程序有一个 MVC 模型。您的 PEP 可能是 Controller 层中的拦截器或注释。

有几种 ABAC 语言和实现:

• 开源:
  • 基于Rego语言的开放Policy Agent
  • 基于 XACML 标准的 AuthZForce。
• 闭源:基于 XACML 和 ALFA 标准的 Axiomatics Policy Server。