个人简介

Echo Blog

江湖无名 安心练剑
  • 权限体系之-110-ABAC 是什么?
    1. ABAC 是什么? ABAC(Attribute-Based Access Control)= 基于属性的访问控制 核心思想: 不再仅仅根据用户所属角色来授权,而是根据用户、资源、行为、环境的“属性”组合动态决定是否允许访问。 换句话说,它是通过规则引擎 + 属性(Attributes)来实现的更动态、更细的授权模型。 2. ABAC 的关键四类属性(Attrib...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-11-passport 登录安全之 weak-password 弱口令
    弱口令是什么? 弱口令,几乎是所有系统沦陷的第一入口。 我们用“工程视角 + 安全实战”的方式,彻底讲清楚三件事: 什么是弱口令(不是只说“123456”这么简单) 弱口令为什么这么致命 如何系统性避免 + 安全加固方案(可直接落地) Passport 平台 – 强制复杂密码与密码黑名单功能设计文档 场景:企业内部 Passport 平台,统一账号体系安全...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-108-RABC+ resource×action×dataScope 关系
    # 关系说明 好的,我帮你把 resource / action / data_scope 与你现有 RBAC 的关系,以及它们对最终权限的影响做一个清晰、可落地的整体梳理。 我会分模块说明,并给出流程示意,确保逻辑明确。 1. 核心概念 1.1 Resource(资源) 系统中被操作的对象,比如: 用户管理 订单列表 ...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-106-RABC+ resource 资源管理
    资源中心(MVP 极简版)设计 只保留 2 张核心表 我们将资源相关的数据统一在一张主表,减少复杂度。 标签、属性、关系都不做独立表,统一放 JSON。 1. resource(主表) 满足你的字段要求,并保留最基本的 RBAC 所需能力。 必含字段(你要求的公共字段): id status create_time update_time creator_id updater_i...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-106-RABC+ 要如何使用?
    目前只是实现了 RBAC+ 的表管理(用户、角色、策略、scope),有了这些数据具体如何使用?最好可以提供 sdk 给别的系统 下面提供一份企业级可落地的“RBAC+ 权限使用方案 + SDK 设计”,告诉你: 既然 RBAC+ 管理表已经做好(用户、角色、Action、Scope…),业务系统如何实际使用这些权限? 如何提供 统一的 SDK(Java 后端为例)让其他系统秒...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-105-RBAC+ 那为什么还需要进一步设计你说的 action resource data_scope??
    那为什么还需要进一步设计你说的 action resource data_scope?? 这是一个非常关键的问题: 既然你已经采用了统一的 permission 表、并且区分了 MENU/API/BUTTON/PAGE/DATA,为什么我还建议你进一步引入: Action(动作权限) Resource(资源实例权限) Data Scope(数据范围权限) 你担心的是: ...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-104-RBAC+ 在 permission-plateform 的完整落地方案(企业级实施计划)
    改造方案 permission role role_permission user user_group user_group_relation user_role 这已经覆盖了基础 RBAC 核心能力。 下面我会基于你已有的模型,提供: 《permission-plateform 的 RBAC+ 完整落地方案(在不破坏已有表结构前提下)》 方案目标: 不动现有表 新增...
    2025-11-20 06:12:33 | plateform
  • 权限体系之-103-IAM 系统 什么是 RBAC+(增强型 RBAC / RBAC Plus)?
    什么是 RBAC+(增强型 RBAC / RBAC Plus)? 这不是概念科普,而是偏“企业级权限架构设计”的内容。 1. RBAC+ 是什么(一句话精准定义) RBAC+ = 以经典 RBAC 为核心,融合资源权限、层级角色、数据权限、操作权限、多维策略等扩展能力的企业级增强版权限模型。 它不是 ABAC,但比 RBAC 更强,可覆盖 80% 的企业权限场景。 也常...
    2025-11-20 06:12:33 | plateform