Topic: RBAC(基于权限的访问控制)谁研究过? |
 Print this page
|
| 1.RBAC(基于权限的访问控制)谁研究过? | Copy to clipboard |
|
Posted by: hitdemo2002 Posted on: 2003-11-28 13:53 基于权限的访问控制(Role Based Access Control),由于需要把权限抽象出来,做成taglib,所以最近看了一点理论,主要有: http://csrc.nist.gov/rbac/ http://www.oone.com.cn/article/security.htm http://www.jdon.com/jive/article.jsp?forum=46&thread=10122 http://www.jdon.com/jive/article.jsp?forum=46&thread=7309 及其他jdon里的一些文章。 具体实现的时候,大家作的都不太一样,而且对这个理论的认同度好像也有差异。 我现在疑惑的是: 1 现在有没有一套经过实践证明好用的基于java语言的RBAC实现,可以直接使用的。 2 sun的jaas是不是基于RBAC思想设计的,具体实现时,它对这样的授权(比如谁能添加,谁能修改什么栏目的什么记录,)支不支持,如果支持,sun的jaas在这方面有没有参考实现,忘了在什么地方看的,说chinaxp论坛用的是jaas来实现权限管理,不知是不是这样。 3 jive3的权限管理是不是基于RBAC的,因为我在看帮助时,看到了“role-based administration",而且在管理jive的过程中,我感觉确实和自己了解的RBAC理论停相符的,当然,我对RBAC的理解可能有偏差。jive3的权限管理能在多大程度上抽象出来? 4 著名的petstore的权限管理是不是基于RBAC的,这个我接触太少,实在无法说出什么。 btw,除了petstore和master ejb2的代码,bea的代码,还有什么学习ejb的完整程序。我下了个xpetstore,有ejb版本的,谁研究过? | |
| 2.Re:RBAC(基于权限的访问控制)谁研究过? [Re: hitdemo2002] | Copy to clipboard |
|
Posted by: collins Posted on: 2003-11-28 16:17 完全按照RBAC模型来做的,还没有看到,JAAS是个好东西。基本上有两种方案: 1、按照J2EE安全模型来做,没有详细学习过,总感觉灵活性不好。J2EE下个版本打算支持P3P,那时应该可以解决这个问题。 2、角色-安全模型,用得比较多,简单清晰的可以看看jetspeed。 | |
| 3.Re:RBAC(基于权限的访问控制)谁研究过? [Re: hitdemo2002] | Copy to clipboard |
|
Posted by: xiongjy Posted on: 2003-11-29 17:40 我们有做了这样的产品rbac访问控制系统1.1不过主要是基于rbac 模型中rbac2级的简化版本,有继承和互斥,主要是去掉了多继承和动态职责,主要是用c++写的,也有用在java上的部分,主要是把它的acdf部分在j2ee server上的实现,采用的filter机制 | |
| 4.Re:RBAC(基于权限的访问控制)谁研究过? [Re: xiongjy] | Copy to clipboard |
|
Posted by: collins Posted on: 2003-12-01 15:24 很好啊,xiongjy 能提供更详细的文档吗?如果不方便,基本设计框架也行啊。一直想好好学习一下这方面的东西,苦于没有时间。在国内大部分的应用开发,在安全方面重视很不够,总是寄希望于什么防火墙等外围方式,软件系统中的安全考虑很少。 | |
| 5.Re:RBAC(基于权限的访问控制)谁研究过? [Re: hitdemo2002] | Copy to clipboard |
|
Posted by: 大雨不停 Posted on: 2003-12-02 16:12 我看过第一个网站,曾经写了一段关于rbac的论述.空了找出来贴上 
| |
| 6.Re:RBAC(基于权限的访问控制)谁研究过? [Re: collins] | Copy to clipboard |
|
Posted by: hitdemo2002 Posted on: 2003-12-03 11:53 collins wrote: jetspeed的你能说的详细些么,谢谢. | |
| 7.Re:RBAC(基于权限的访问控制)谁研究过? [Re: hitdemo2002] | Copy to clipboard |
|
Posted by: collins Posted on: 2003-12-04 11:27 jetspeed是最初的portlets参考实现,其中关于用户权限部分采用了turbine的用户-角色模型,一个简单而常用的模型,你可以在此模型上扩展。 | |
| 8.Re:RBAC(基于权限的访问控制)谁研究过? [Re: xiongjy] | Copy to clipboard |
|
Posted by: hitdemo2002 Posted on: 2003-12-04 16:35 collins wrote: 好的,我先看看。 xiongjy wrote: “在j2ee服务器实现”是不是类似《 j2ee design patterns applied》那本书中讲的,将用户、访问某资源权限写到web.xml或ejb-jar.xml中? 你们的1.1系统现在能不能方便的和其他web应用程序结合在一起。 对rbac这套理论我刚接触,能再推荐些中文资料么,谢谢。 | |
| 9.Re:RBAC(基于权限的访问控制)谁研究过? [Re: collins] | Copy to clipboard |
|
Posted by: hitdemo2002 Posted on: 2003-12-08 11:42 turbine好像不是基于rbac的,而是基于acl的吧? | |
| 10.Re:RBAC(基于权限的访问控制)谁研究过? [Re: hitdemo2002] | Copy to clipboard |
|
Posted by: xiongjy Posted on: 2003-12-09 12:37 很好啊,xiongjy 能提供更详细的文档吗?如果不方便,基本设计框架也行啊。一直想好好学习一下这方面的东西,苦于没有时间。在国内大部分的应用开发,在安全方面重视很不够,总是寄希望于什么防火墙等外围方式,软件系统中的安全考虑很少。 你说的很对,外围方式的安全要明显一些,就像大门上锁,访问控制模型研究的是系统内部的安全控制,它可以使安全性可以得到进一步的加强。 你对rbac模型熟不熟悉?其实我觉得rbac原理是比较容易理解的,不同于简单的usr-resource模型,它增加了一层role层,变成了usr-role-resource,赋予ac系统更多的灵活度,也利于系统的安全管理,acdf以这三者共同作为参数作出判定(你可以想象一种金字塔形状的结构),并将结果返回给acef,通常来说,这个acef就是我们的不同平台不同功能的server,web server, app server 等等,rbac实现的难点主要有,rbac中role的关系设定,resource的映射,role与resource的绑定方式,还有就是acef与acdf的绑定了,特别是后2者,由于存在太多的差异,实现方式各不一样,很难找到一种大家都通用的方法。这也是rbac目前没有得到大范围应用的主要原因。 我这段时间比较忙,等我忙过了我会整理一些更详细的文档出来的。 | |
 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |