Где можно посмотреть структуру базы данных для реализации RBAC и ABAC?

Question

[Кирилл]

Всем привет!

Ребят, достаточно детский вопрос у меня, но все же.
Пишу одно приложение и задумался, как лучше разграничить доступ к функционалу на основе ролей или может даже атрибутов?

Погуглил, нашел описания role-based access control (rbac) и attribute-based access control (abac), но примеров структуры БД что-то нет, может кто кинет в меня ссылкой на такие источники?

И еще один вопрос сюда же, я правильно понимаю, что у нас должны идти условные проверки на возможность доступа юзера к тому или иному функционалу, действию?

Например - у меня есть админка, в которой админ видит пункты - Филиалы, Список пользователей, а менеджер видит только пункт - Филиалы.

Я правильно понимаю, что у нас идет здесь проверка либо на роль, либо на атрибут - в зависимости от системы управления правами? (вопросы нубские, понимаю, но туплю жестко уже не первый день)

Answer 1

[Иван Мельников]

Ну, вот, недавно делал:

Comments

[Кирилл]

Спасибо, что поделились схемой!

[Antonio Solo]

а в чем смысл включения между user и role userAssignment ?

[Иван Мельников]

Antonio Solo, Вообще, в RBAC User и Role связаны логическим отношением M:N и для их связи нужна всего одна табличка UserAssignment (у меня она называется Role_UserAssignment). Но у меня был проект, в котором для каждого города была своя версия сайта (ресурс для энергетиков, обслуживающих уличное освещение) и было решено расширить стандартную RBAC одной табличкой, которая позволяет назначать роли не юзерам, а связкам юзер - субъект Федерации, юзер - город, юзер - группа освещения или юзер - весь ресурс.

Answer 2

[Антон Шаманов]

ну рбак это же совсем просто :

CREATE TABLE IF NOT EXISTS `roles` (
  `id` int(11) UNSIGNED NOT NULL AUTO_INCREMENT,
  `name` varchar(255) NOT NULL,
  `description` varchar(255) NOT NULL,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `uniq_name` (`name`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8;

INSERT INTO `roles` (`id`, `name`, `description`) VALUES(1, 'login', 'Login privileges, granted after account confirmation');
INSERT INTO `roles` (`id`, `name`, `description`) VALUES(2, 'admin', 'Administrative user, has access to everything.');

CREATE TABLE IF NOT EXISTS `roles_users` (
  `user_id` int(11) UNSIGNED NOT NULL,
  `role_id` int(11) UNSIGNED NOT NULL,
  PRIMARY KEY  (`user_id`,`role_id`),
  KEY `fk_role_id` (`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS `users` (
  `id` int(11) UNSIGNED NOT NULL AUTO_INCREMENT,
  `email` varchar(255) NOT NULL,
  `username` varchar(255) NOT NULL DEFAULT '',
  `password` varchar(255) NOT NULL,
  `logins` int(11) UNSIGNED NOT NULL DEFAULT 0,
  `last_login` int(11) UNSIGNED,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `uniq_username` (`username`),
  UNIQUE KEY `uniq_email` (`email`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS `user_tokens` (
  `id` int(11) UNSIGNED NOT NULL AUTO_INCREMENT,
  `user_id` int(11) UNSIGNED NOT NULL,
  `user_agent` varchar(255) NOT NULL,
  `token` varchar(255) NOT NULL,
  `created` int(11) UNSIGNED NOT NULL,
  `expires` int(11) UNSIGNED NOT NULL,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `uniq_token` (`token`),
  KEY `fk_user_id` (`user_id`),
  KEY `expires` (`expires`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8;

ALTER TABLE `roles_users`
  ADD CONSTRAINT `roles_users_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `users` (`id`) ON DELETE CASCADE,
  ADD CONSTRAINT `roles_users_ibfk_2` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`) ON DELETE CASCADE;

ALTER TABLE `user_tokens`
  ADD CONSTRAINT `user_tokens_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `users` (`id`) ON DELETE CASCADE;

Comments

[Кирилл]

Спасибо за ответ и SQL-запрос))) Я думал таблиц побольше будет)) Мне казалось, что еще таблица permissions еще должна быть, с чеками Create, Update, Read, Delete, ну и таблица многие ко многим типа Permissions Role или это уже ближе к abac системе?

[Антон Шаманов]

Кирилл, это уже acl будет, а рбак это по ролям