В настоящее время мы создаем веб-приложение, которое имеет несколько пользовательских ролей. Каждому пользователю назначена одна или несколько ролей, что дает ему разрешение на взаимодействие с определенными c частями (ресурсами REST) веб-приложения. Например, пользователю с ролью admin разрешено выполнять действие create с ресурсом user.
. Мы реализовали этот контроль доступа с использованием RBA C с Casbin * 1007. *. Это удовлетворяло наши потребности контроля доступа до сих пор. Мы подошли к тому моменту, когда нам нужно реализовать какой-то механизм, который позволяет пользователям нашего веб-приложения предоставлять другим пользователям доступ к указанным c объектам данных (например, их адресам). В некоторых случаях эти другие пользователи также должны иметь возможность изменять эти данные.
У меня такое ощущение, что RBA C не предназначен для этого уровня детального контроля доступа. Поэтому я ищу лучшие практики / альтернативные модели контроля доступа, которые подходят для этого варианта использования.
Я прочитал об ABA C в этом ответе , но все еще имею следующие 2 вопроса :
- Является ли ABA C рекомендованной моделью или есть другие модели, о которых я должен знать?
- Если я в конечном итоге использую ABA C, что лучше? способ объединить это с RBA C?
Я очень ценю любые ответы.