什么是基于角色的访问控制RBAC?

在很多商业部门中，访问控制是由各个用户在部门中所担任的角色来确定的，而不是基于信息的拥有者。

所谓角色，就是一个或一群用户在组织内可执行的操作的集合。RBAC的根本特征即依据RBAC策略，系统定义了各种角色，不同的用户根据其职能和责任被赋予相应的角色。

RBAC通过角色沟通主体与客体，真正决定访问权限的是用户对应的角色标识。由于用户与客体无直接联系，所以他不能自主将权限授予别的用户。

RBAC的系统中主要关心的是保护信息的完整性，即“谁可以对是么信息执行何种动作?”，角色控制比较灵活，根据配置可以使某些角色接近DAC，而某些角色更接近与MAC。

角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，而且授权是强加给用户的，用户不能自主地将权限传给他人。