设计支持关系的基于角色的访问控制

Question

我正在为访问控制系统设计一个数据库模型，该系统部分基于角色，但确实需要一些访问列表功能和关系访问。

我正在为学校构建一个 Web 应用程序（如果重要的话可以使用 PHP 和 MVC 架构）来管理学生、教师、员工和经理的交互，例如教师奖励学生或员工招收或删除学生。我的主要问题是，我被要求：1-为每个用户提供可选的额外权限，而不是他们已经从其角色继承的权限。（=>访问列表）2-提供一种简单的方法来将某些学生与每个学期的某些学生进行匹配，这意味着一名教师应该能够对参加他所教课程的学生进行评分，但不能对其他班级的其他学生进行评分，并且该班级会发生变化太频繁（每次更改之间间隔 2 个月）。

我正在考虑实现一个基于标准角色的系统，为每个用户的额外权限添加一个额外的表，并在权限中添加一个名为范围的额外字段，可以选择用另一个表的名称填充（这是由应用程序而不是数据库完成的）包含连接列表。例如，教师可以拥有教师控制器：“评分”->方法“新分数”->范围：“课程用户”，这意味着我在“课程用户”表中搜索教师 ID 和任何其他用户 ID相同的 courseid，并允许教师为与教师共享该 courseid 的任何学生提交新分数。这是我的模型：

这是正确的方法吗？我应该为每个新的共享连接创建新表还是将它们全部放在一张表中？我感谢任何帮助或至少为解决此问题的标准解决方案提供指导。

Answer 1

您不应该实现用于访问控制的数据库模型。您的数据库模型应该包含您关心的对象（学生、教师、班级...）。其余的应该表达为外部化授权模型中的策略。这称为基于属性的访问控制 abac。它也称为基于策略的访问控制 (PBAC)。不同的名字，同样的事情。

在ABAC 中，您一方面拥有属性（数据库模型中表的字段，例如用户名、角色、课程年份...），另一方面拥有策略。例如：

• 教师可以编辑他们所教班级中学生的成绩
• 学生可以查看自己的成绩
• 学生可以查看自己所属班级的课程资料

所有这些都是（业务）授权策略的示例。

在 ABAC 中，您将拥有评估授权策略的策略决策点 (PDP) 和拦截业务请求并向 PDP 发送授权请求的策略执行点 (PEP) 的概念。例如：

• 学生 Alice 可以查看 123 年级吗？
• 老师 Bob 可以查看学生 Alice 的个人资料吗？

PDP 回复决定（允许或拒绝），然后 PEP 必须执行该决定。您提到您的应用程序有一个 MVC 模型。您的 PEP 可能是控制器层中的拦截器或注释。

有几种 ABAC 语言和实现：

• 开源：
  • 基于Rego语言的开放策略代理
  • AuthZForce 基于 XACML 标准。
• 闭源：基于 XACML 和 ALFA 标准的 Axiomatics 策略服务器。