惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

U
Unit 42
N
News and Events Feed by Topic
S
Schneier on Security
G
GRAHAM CLULEY
Scott Helme
Scott Helme
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
GbyAI
GbyAI
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
C
CERT Recently Published Vulnerability Notes
T
The Exploit Database - CXSecurity.com
C
Cisco Blogs
T
The Blog of Author Tim Ferriss
Cisco Talos Blog
Cisco Talos Blog
P
Privacy & Cybersecurity Law Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
博客园 - 司徒正美
Blog — PlanetScale
Blog — PlanetScale
Project Zero
Project Zero
MyScale Blog
MyScale Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Apple Machine Learning Research
Apple Machine Learning Research
小众软件
小众软件
The Last Watchdog
The Last Watchdog
Vercel News
Vercel News
The Cloudflare Blog
C
Check Point Blog
Help Net Security
Help Net Security
Microsoft Security Blog
Microsoft Security Blog
AI
AI
Simon Willison's Weblog
Simon Willison's Weblog
云风的 BLOG
云风的 BLOG
M
MIT News - Artificial intelligence
Stack Overflow Blog
Stack Overflow Blog
腾讯CDC
NISL@THU
NISL@THU
S
Security @ Cisco Blogs
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
S
SegmentFault 最新的问题
MongoDB | Blog
MongoDB | Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Threatpost
AWS News Blog
AWS News Blog
Cloudbric
Cloudbric
N
News and Events Feed by Topic
PCI Perspectives
PCI Perspectives
S
Securelist
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
V
Vulnerabilities – Threatpost
S
Secure Thoughts

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
RBAC权限模型——理论篇
咪说产品 · 2023-11-21 · via 人人都是产品经理

企业在初期发展时,是以线下业务为主。但之后的发展,随着线上产品做得越深,权限管理也会更复杂,因此在开始的时候就应该着手准备。下面是笔者整理分享的关于RBAC权限设计的理论知识内容,大家一起往下看看吧!

在企业快速发展的初期,通常以线下业务为核心战略目标。随着公司的快速发展,线上产品做的越来越深,导致权限管理的复杂性增加,特别是在大型组织中。

管理大量用户的权限可能会变得混乱,难以维护。等到后期需求堆叠困难时候,才想到权限梳理的问题。所以在产品初期就应该有权限分配的意识。

一、传统权限

企业攻城拔寨的早期阶段,IT产品业务线较为单一,研发部小步快跑迎合业务往往最初的产品需求。而且公司高层变动较大,每当新来一个leader都临时赋予给他最高或部分权限。所以传统权限分配或都是直接授予用户,而不涉及角色的概念。在这种模型下,每个用户被赋予特定的权限,而不考虑用户是否属于某个角色或组。

这里拿西游记举个例子,可以看出唐僧和孙悟空对应的“经文”是系统直接授予的。这时候,如果再来一个猪八戒那我们需要再次对“经文”勾选查看或者编辑权限。

但是当我们的取经队伍足够大的时候,再去一个个按照人名去勾选权限维护起来肯定是困难的,那我们该如何更有效的管理我们的取经队伍?这时引入RBAC模型,它可以更轻松地处理用户的权限。

二、RBAC模型是什么?

RBAC是指”基于角色的访问控制”(Role-Based Access Control)。它是一种访问控制的安全模型,通过将权限分配给角色,然后将角色分配给用户,来管理系统中的用户访问。RBAC的核心思想是将用户的权限与其角色关联,而不是直接将权限授予用户。

  1. 用户(User):系统的最终使用者,可以被分配一个或多个角色。
  2. 角色(Role):定义了一组相关权限的命名集合。用户可以被分配到一个或多个角色。
  3. 权限(Permission):描述了可以执行的操作或访问的资源。权限与角色相关联,用户通过分配到角色而获得相应的权限。
  4. 访问控制矩阵(Access Control Matrix):显示了用户、角色和权限之间的关系,以及谁可以执行什么操作的表格。

接着上面的案例,当我们的系统加入猪八戒和沙悟净这两个人物时,按照传统的权限分配模式,我们需要分别对每个人授予权限,那如果使用RBAC模型,我们将系统中加入角色。这时候只需要把“孙悟空”“猪八戒”“沙悟净”赋予徒弟这个角色后,后续修改徒弟的权限,即可修改给所有的徒弟。

相比之下,RBAC引入了角色的概念,将权限与角色相关联,然后将角色分配给用户。这种方式使得权限管理更为灵活和可维护,因为只需要管理角色的权限,而不是每个用户的权限。这对于大型组织或复杂系统来说是一种更有效的权限管理方法。

三、多角色权限

当一个人具有多个角色时,RBAC允许用户同时拥有多个角色。这样的设计使得系统更加灵活,能够更好地适应组织结构和复杂的访问需求。在RBAC中,用户和角色之间的关系可以是多对一或多对多,具体取决于系统的设计需求和安全策略。

  1. 多对一(Many-to-One):多个用户映射到同一个角色。这表示多个用户共享相同的角色,但每个用户在系统中只属于一个角色。
  2. 多对多(Many-to-Many):一个用户可以映射到多个角色,同时一个角色可以包含多个用户。这表示用户和角色之间存在更为灵活的关系,一个用户可以在系统中属于多个角色,而一个角色也可以包含多个用户。

四、多角色权限处理方式

在RBAC中,有两种常见的处理多角色的方式:

  1. 合并权限: 用户被赋予所有角色的权限。这意味着用户将拥有他所属的每个角色的权限。
  2. 最小化权限: 用户只被赋予他所属的所有角色共同的权限。这种方式确保用户只能执行他所有角色共同具有的权限,而不是所有角色的权限总和。

例如,如果“蜈蚣精”同时具有“飞天怪”和“潜水怪”两个角色,而这两个角色分别具有不同的权限。这时候若使用合并权限的逻辑,则“蜈蚣精”同时拥有“飞天”“地面”“潜水”三个技能,若使用最小化权限逻辑,则“蜈蚣精”只有“地面”技能。

因此如何选择合适的方法取决于系统的安全需求和设计目标。在某些情况下,可能需要灵活性更大,因此采用合并权限的方式。在其他情况下,为了确保最小的权限原则,可能会选择最小化权限的方式。

五、模型分类

读到现在你应该对RBAC已经有了初步的认识,甚至可以适配一些业务场景。但是在真实的工作中,往往业务比我们想象的要复杂,那么我们需要有更进阶的模型方式去处理我们的业务,首先RBAC一共有4种模型,分别是RBAC0(基础模型)、RBAC1(基础模型)、RBAC2(角色限制模型)、RBAC3(统一模型)。

1. RBAC0(基础模型)

最基本的 RBAC 实现,包括角色、用户和权限的概念。在这个级别上,访问控制比较简单,可能不包括角色的层次结构或其他复杂的功能。

就比如我们刚刚的举例:角色:徒弟;权限:查看经文,编辑经文。

2. RBAC1(继承模型)

引入了高级用户的概念,如角色的层次结构、继承权限等。高级用户可能具有比普通用户更多的权限,例如删除其他用户的文章。同时,管理员仍然拥有更高级别的权限。

角色:师傅;权限:可以查看并编辑徒弟的经文,但是徒弟只能编辑和查看自己的。同时可以删除自己和徒弟的经文。

3. RBAC2(角色限制模型)

他是RBAC 模型的演进,通过引入更多的约束和规则,以满足实际业务中对角色分配的特定需求。这里的约束关系主要包含静态分离和动态分析,静态分离是指互斥的角色不能同时赋予同一个用户;动态分离指用户不能同时操作两个互斥的角色进行登录。

1)动态分离

动态分离是指在用户操作阶段,确保用户不能同时操作两个互斥的角色,即用户不能同时登录并执行涉及到互斥角色的操作。

例:即使我现在又是师傅又是徒弟,但是我在系统操作的时候,我不能同时操作两个角色。比如我是师傅时候我就不能降妖除魔,防止潜在的业务冲突

2)静态分离

静态分离是指在角色分配的静态配置阶段就确保某些角色是互斥的,不能同时赋予同一个用户。这样的限制可以通过在 RBAC 模型中定义互斥关系或者强制性的角色分离规则来实现。

例:在西游记中定义师傅和徒弟角色为互斥的,系统在进行角色分配时会检查这一规则,确保一个用户不能同时拥有师傅和徒弟角色。

3)动态分离和静态主要有三种约束形式

a、互斥角色:互斥关系角色指的是在某些情况下,两个或多个角色是互斥的,即它们不能同时分配给同一个用户。这是一种静态的限制,通常在角色分配的静态配置阶段就确定。

b、基数约束:基数约束涉及到限制用户能够拥有的角色数量,或者某个角色在系统中的实例数。这种约束可以是静态的,也可以是动态的,取决于在哪个阶段进行约束的检查。

c、先决条件约束:先决条件角色是指在分配某个角色之前,用户必须先拥有另一个或一组先决条件角色。这种机制可以用于确保用户在获得某个高级别角色之前必须具备一定的背景或权限。

4. RBAC3(统一模型)

很多人说 RBAC3=RBAC1+RBAC2,虽然在某些方面有相似之处,但它们并不是简单的加法关系。RBAC3 通常被认为是对 RBAC 模型的更进一步的增强。RBAC1 引入了角色的层次结构和权限继承的概念,增加了灵活性和简化了权限管理。RBAC2 在 RBAC1 的基础上引入了动态任务权限的概念,使得权限的分配更加灵活和动态。RBAC3 进一步提高了安全性和灵活性,引入了更高级的审计功能、自定义安全策略、高级用户管理等。

例:

  • 角色:徒弟(悟空)。权限: 查看经文,编辑经文。
  • 角色:师傅(三藏)。权限: 除了查看经文,编辑经文。增加了删除经文。
  • 角色:仙班(玉帝)。权限: 除了师傅的权限外,还能创建创建经文,评估徒弟表现。
  • 角色:教主(如来)。权限: 除了仙班的权限外,还能调整创建经文平台的设置、审计平台活动。
  • 特殊情况下的动态调整: 在某些特殊情况下,可以灵活地调整权限,例如允许一个关卡有两位首领。
  • 角色分配先决条件:想成为如来,必须先是师傅。

六、用户组

现在我们已经了解了RBAC模型的概念,但是对于更复杂的企业来说维护起来的工作量还是及其庞大和繁琐的。

针对这种情况,往往我们可以将相同权限的角色进行合并成用户组。这样可以简化权限管理。同时也可以让用户组织更为清晰。这时候我们再看第一个案例,那么孙悟空、猪八戒、沙悟净就是一个取经团队,也就是用户组。

七、总结

不管使用哪种模型,只有适合当下的业务才是最好的。毕竟在公司发展的不同阶段,所投入的研发资源不同,产品的定位也会随着战略的调整而调整。当然在初期产品规划的时候还是要有全局观,防止后面业务调整的时候所造成较大的修改成本。

本文由 @Tamil 原创发布于人人都是产品经理。未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。