权限模型核心对比#

在深入细节前，我们先通过一张表看清各模型的本质区别：

1. 基于角色的访问控制 (RBAC) —— 工业标准#

RBAC (Role-Based Access Control) 是目前 Web 应用的“黄金标准”。它引入了“角色”作为中介，解耦了用户与权限的关系。

• 核心逻辑：User ↔ Role ↔ Permission
• 优点：结构清晰，非常符合人类的组织架构逻辑。
• 进化版 (RBAC1/2/3)：支持角色继承（如“高级编辑”继承“初级编辑”权限）和职责分离（SoD）。

2. 基于属性的访问控制 (ABAC) —— 未来趋势#

随着业务复杂度提升，RBAC 往往会陷入“角色爆炸”的窘境。ABAC (Attribute-Based Access Control) 通过动态规则解决了这一难题。

• 核心逻辑：if (User.Attribute && Resource.Attribute && Environment.Condition) then Allow
• 实战场景：“允许【财务部】的【总监】，在【工作日 9:00-18:00】从【公司内网】下载【金额 > 100万】的报表。”
• 优势：不需要为这种特殊场景创建无数个角色。

3. 访问控制列表 (ACL) 与 自主访问控制 (DAC)#

• ACL 是最原始的形式，直接在资源上挂名单。
• DAC (Discretionary Access Control) 常见于社交媒体。你是朋友圈的“所有者”，你可以决定谁能看这条动态（这就是自主授权）。

4. 强制访问控制 (MAC)#

MAC (Mandatory Access Control) 是安全界的“铁腕”。系统给数据贴标签（如：绝密），给用户发通行证。即便你是文件创建者，如果你的等级不够，你也打不开。

5. 分布式环境：基于能力的访问控制 (CapBAC)#

在微服务或去中心化场景下，频繁查询中心化权限服务会产生性能瓶颈。

• 机制：用户持有一个包含权限信息的“令牌”（类似 JWT）。
• 特点：令牌本身就是访问凭证，不需要去数据库查。

6. 基于策略的访问控制 (PBAC)#

PBAC 实际上是 ABAC 的一种规范化实现。它使用专门的策略引擎（如 OPA - Open Policy Agent）来统一管理全公司的权限逻辑，实现“权限即代码”（Policy as Code）。

开发实战建议：如何选型？#

1. 初创项目/内部系统：首选 RBAC。它能覆盖 90% 的需求，且大多数框架（如 Spring Security, .NET Identity, ABP）都有现成支持。
2. SaaS 产品：RBAC + 多租户隔离。需要考虑租户间的权限完全独立。
3. 大型复杂金融/政务系统：考虑 RBAC 混合 ABAC。基础权限用角色，特殊风控逻辑用属性策略。
4. 物联网/API 开放平台：考虑 CapBAC (令牌机制)，减少中心化校验压力。

总结： 权限模型没有绝对的优劣，只有场景的适配。从简单的 ACL 到动态的 ABAC，其演进的动力始终是灵活性与维护成本之间的平衡。