如何解决对页面的数据访问控制能否消除对它的 RBAC 限制的需要?
为 Web 应用程序开发访问控制,我们采用了 RBAC。基于哪个页面和操作应该具有分配的权限,以检查当前用户作为物理组件的可访问性,但是这种方法在具有数据级访问权限时可能会导致权限冲突,或者例如在具有动态分配的权限时工作流等权限。
例如一个任何人都可以访问的任务列表页面,只要用户没有访问任何任务的权限,就不会显示任何内容,这种情况下仍然建议限制对页面本身的访问基于角色?同样的问题也适用于任务详细信息页面本身。如果我们添加了 RBAC 限制,那么我们将需要通过优先考虑数据访问规则或在运行时频繁更改 RBAC 来添加特定逻辑,这是不值得的努力!
接下来的问题是:只要特定页面完全受数据访问控制,我们是否可以免除物理访问限制?或者我们必须离开两者并处理它!?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
