基于角色的访问控制的DB模式

Question

我目前正在为本地协会开发成员管理，目前我正在开发数据库架构。 我想与您分享以改进它并提供其他基于角色的访问模型（RBAC）的示例。 我很感激任何建设性的批评，特别是我在表格之间使用的关系。

链接到highres： http ： //i.stack.imgur.com/WG3Vz.png

继承架构：

这个怎么运作：

我将现有客户端（实际上是关联成员）从外部应用程序映射到我的管理应用程序。 （客户表）

该关联在Division，Subdivisions等（intern_structures表）中构建。 每个客户都可以成为多个部门，细分，部门等的成员。

每个客户都可以在诸如总裁，精算师，财务主管等会员（分部......）中担任一个或多个角色，并且每个角色都有某些特权，角色的所有者可以在其部门，细分，部门等中应用其他人。 。

凭证连接到应用程序的特定操作。 凭证的所有者可以对其范围内的其他成员执行此操作。 可以有多个“独立”应用程序，但它们都共享相同的身份验证/授权系统。

应用程序在模块/子模块/动作等中构造。示例可以是“个人详细信息”模块，该模块包含一个名为“图片”的子模块，您可以在此图片上应用“查看，删除，编辑”操作。 但是你不能删除任何图片，除非你试图删除图片的人在你有足够角色的部门/部门。

内部和应用程序结构都是树，实现为邻接列表和嵌套集。 邻接列表确保完整性，嵌套集允许我快速遍历树。

一个例外是您可以直接向某人提供某些凭据（client_credentials）。 如果某人需要对不属于他的divsion / section的人执行某些操作，则需要这样做。

因此，某人可以成为多个divsions / sections的成员，并在他所属的每个部门/部门中获得多个角色。 我将通过他的多个角色合并某人拥有的所有凭据。 凭证总是积极的，意味着限制性凭证是不可能的。

Answer 1

我将再举一个我非常喜欢的RBAC系统的例子。 请在这里查看 Tony Marston的radicore框架。

我不确定它是否符合您的所有要求，但您可以比较您的工作可以提供帮助。

Answer 2

我似乎没有看到很多RBAC映射，例如：

Operation  = Any action, such as CRUD operations
Object     = Reference to any object instance

Permission = Mapping of 'Operation' + 'Object'

我不确定你的所有“凭证”表是什么？ 凭证通常包含用于证明其身份的属性（即：用户名/密码）。 为什么你有角色凭证？