142
RBAC新解 - 基於資源的權限管理
1、什麼是角色
當說到程序的權限管理時,人們往往想到角色這一概念。角色是代表一係列可執行的操作或責任的實體,用於限定你在軟件係統中能做什麼、不能做什麼。用戶帳號往往與角色相關聯,因此,一個用戶在軟件係統中能做什麼取決於與之關聯的各個角色。
例如,一個用戶以關聯了”項目管理員”角色的帳號登錄係統,那這個用戶就可以做項目管理員能做的所有事情――如列出項目中的應用、管理項目組成員、產生項目報表等。
從這個意義上來說,角色更多的是一種行為的概念:它表示用戶能在係統中進行的操作。
2、基於角色的訪問控製(Role-Based Access Control)
既然角色代表了可執行的操作這一概念,一個合乎邏輯的做法是在軟件開發中使用角色來控製對軟件功能和數據的訪問。你可能已經猜到,這種權限控製方法就叫基於角色的訪問控製(Role-Based Access Control),或簡稱為RBAC。
有兩種正在實踐中使用的RBAC訪問控製方式:隱式(模煳)的方式和顯示(明確)的方式。
今天依舊有大量的軟件應用是使用隱式的訪問控製方式。但我肯定的說,顯示的訪問控製方式更適合於當前的軟件應用。
3、隱式的訪問控製
前麵提到,角色代表一係列的可執行的操作。但我們如何知道一個角色到底關聯了哪些可執行的操作呢?
答案是:目前的大多數應用,你並能不明確的知道一個角色到底關聯了哪些可執行操作。可能你心裏是清楚的(你知道一個有”管理員”角色的用戶可以鎖定用戶帳號、進行係統配置;一個關聯了”消費者”這一角色的用戶可在網站上進行商品選購),但這些係統並沒有明確定義一個角色到底包含了哪些可執行的行為。
拿”項目管理員”來說,係統中並沒有對”項目管理員”能進行什麼樣的操作進行明確定義,它僅是一個字符串名詞。開發人員通常將這個名詞寫在程序裏以進行訪問控製。例如,判斷一個用戶是否能查看項目報表,程序員可能會編碼如下:
代碼塊1.隱式地基於角色的權限控製:
在上麵的示例代表中,開發人員判斷用戶是否有”項目管理員”角色來決定是否顯示查看項目報表按鈕。請注意上麵的代碼,它並沒有明確語句來定義”項目管理員”這一角色到底包含哪些可執行的行為,它隻是假設一個關聯了項目管理員角色的用戶可查看項目報表,而開發人員也是基於這一假設來寫if/else語句。
4、脆弱的權限策略
像上麵的權限訪問控製是非常脆弱的。一個極小的權限方麵的需求的變動都可能導致上麵的代碼需要重新修改。
舉例來說,假如某一天這個開發團隊被告知:“哦,順便說一下,我們需要一個’部門管理員’角色,他們也可以查看項目報表。請做到這一點。”
這種情況下,開發人員需要找到上麵的代碼塊並將其修改為:
代碼塊2.修改過的隱式的基於角色的權限控製:
隨後,開發人員需要更新他的測試用例、重新編譯係統,還可能需要重走軟件質量控製(QA)流程,然後再重新部署上線。這一切僅僅是因為一個微小的權限方麵的需求變動!
後麵如果需求方又回來告訴你說我們又有另一個角色可查看報表,或是前麵關於”部門管理員可查看報表”的需求不再需要了,豈不把人累死了。
如果需求方要求動態地創建、刪除角色以便他們自己配置角色,又該如何應對呢?
像上麵的情況,這種隱式的(靜態字符串)形式的基於角色的訪問控製方式難以滿足需求。理想的情況是如果權限需求變動不需要修改任何代碼。怎樣才能做到這一點呢?
5、顯式地訪問控製:更好的選擇
從上麵的例子我們看到,當權限需求發生變動時,隱式的權限訪問控製方式會給程序開發帶來沉重的負擔。如果能有一種方式在權限需求發生變化時不需要去修改代碼就能滿足需求那就好了。理解的情況是,即使是正在運行的係統,你也可以修改權限策略卻又不影響最終用戶的使用。當你發現某些錯誤的或危險的安全策略時,你可以迅速地修改策略配置,同時你的係統還能正常使用,而不需要重構代碼重新部署係統。
怎樣才能達到上麵的理想效果呢?我們可以通過顯式的(明確的)界定我們在應用中能做的操作來進行。
回顧上麵隱式的權限控製的例子,思考一下這些代碼最終的目的,想一下它們最終是要做什麼樣的控製?
從根本上說,這些代碼最終是在保護資源(項目報表),是要界定一個用戶能對這些資源進行什麼樣的操作(查看/修改)。當我們將權限訪問控製分解到這種最原始的層次,我們就可以用一種更細粒度(更富有彈性)的方式來表達權限控製策略。
我們可以修改上麵的代碼塊,以基於資源的語義來更有效地進行權限訪問控製:
代碼塊3.顯式的權限控製:
上麵的例子中,我們可明確地看到我們是在控製什麼。不要太在意冒號分隔的語法,這僅是一個例子,重點是上麵的語句明確地表示了“如果當前用戶允許查看編號為12345的項目報表,則顯示項目報表按鈕”。也就是說,我們明確地說明了一個用戶帳號可對一個的資源實例進行的具體的操作。
6、為什麼說這種方式更好
上麵最後的示例代碼塊與前麵的代碼的主要區別:最後的代碼塊是基於什麼是受保護的, 而不是誰可能有能力做什麼。看似簡單的區別,但後者對係統開發及部署有著深刻的影響:
更少的代碼重構:我們是基於係統的功能(係統的資源及對資源的操作)來進行權限控製,而相應來說,係統的功能需求一旦確定下來後,一段時間內對它的改動相應還是比較少的。隻是當係統的功能需求改變時,才會涉及到權限代碼的改變。例如上麵提到的查看項目報表的功能,顯式的權限控製方式不會像傳統隱式的RBAC權限控製那樣因不同的用戶/角色要進行這個操作就需要重構代碼;隻要這個功能存在,顯式的方式的權限控製代碼是不需要改變的。
更直觀:保護資源對象、控製對資源對象的操作(對象及對象的行為),這樣的權限控製方式更符合人們的思想習慣。正因為符合這種直觀的思維方式,麵向對象的編輯思想及REST通信模型變得非常成功。
更有彈性:上麵的示例代碼中沒有寫死哪些用戶、組或角色可對資源進行什麼操作。這意味著它可支持任何安全模型的設計。例如,可以將操作(權限)直接分配給用戶 ,或者他們可以被分配到一個角色,然後再將角色與用戶關聯,或者將多個角色關聯到組(group)上,等等。你完全可以根據應用的特點定製權限模型。
外部安全策略管理:由於源代碼隻反映資源和行為,而不是用戶、組和角色,這樣資源/行為與用戶、組、角色的關聯可以通過外部的模塊或專用工具或管理控製台來完成。這意味著在權限需求變化時,開發人員並不需要花費時間來修改代碼,業務分析師甚至最終用戶就可以通過相應的管理工具修改權限策略配置。
可在運行環境做修改:因為基於資源的權限控製代碼並不依賴於行為的主體(如組、角色、用色),你並沒有將行為的主體的字符名詞寫在代碼中,所以你甚至可以在程序運行的時候通過修改主體能對資源進行的操作這樣一些方式,通過配置的方式就可應對權限方麵需求的變動,再也不需要像隱式的RBAC方式那樣需要重構代碼。
7、RBAC新解:Resource-Based Access Control
對於上麵列出的諸多好處,我重點要說是這種顯式的機製帶給我們的富有彈性的權限模型。
如果你仍想保留或模擬傳統的基於角色的權限訪問控製,你可以將權限(可執行的操作)直接分配給某個角色。這種情況下,你依舊是在使用基於角色的權限訪問控製方式(不同之處在於你需要明確地界定角色中的權限,而不是傳統的使用角色字符串隱式地進行權限控製)。
但在這種新的模型下,已不必再局限於角色了。你可以將權限直接分配給用戶、組或其它你覺得可以的對象。
因為上麵顯式地、基於資源的權限訪問控製的諸多好處,或許可以給RBAC一個新的定義:“Resource-Based Access Control”。隻是我的一個想法:)
8、現實世界的例子:Apache Shiro
如果你好奇現實世界有沒有被多個係統使用的基於資源的權限控製框架,你可以了解一下Apache Shiro。它是一個Java平台的現代權限管理框架。通過它的權限(Permission)概念,Shiro很好地支持基於資源的權限訪問控製。
當然,並不需要借用Shiro來理解本文所說的一些概念,但Shiro對理解本文所討論的概念及示例有一定的幫助。
最後更新:2017-06-21 17:02:40