我正在开发一个可供许多其他人使用的通用访问控制系统。我正在阅读文献,并将其建模为基于 csrc.nist.gov/rbac/sandhu-ferraiolo-kuhn-00.pdf 的平面RBAC(基于角色的访问控制)
我想知道是否有好的开源实现可以看看。我在这里关心的不是看后端存储方面,而是更多地关注访问控制系统的设计方面。
我知道 UNIX 模型是查看它的好方法,但我不确定它是否可以映射到这个系统。我认为棘手的部分是将其构建为一个通用系统,它并没有很多要求。
您需要更具体地说明您尝试规范访问的资源。UNIX 中的规范方式是使用用户和组。一般来说,它可以解决问题,但通常使用起来不是很方便(例如,必须采取额外的步骤来确保新创建的文件的组 ID 设置为多个的特定 ID)。
对于基于每个用户每个应用程序每个文件的通用灵活(有时过于灵活)访问控制,有 SELinux。
对于涉及较少但仍然比传统文件访问模式更灵活的内容,有 ACL