Я изучаю различные типы моделей контроля доступа. До сих пор я встречал MAC, ABAC и RBAC, где RBAC и ABAC являются самыми популярными. Но ни один из них не подходит как полное решение для всех сценариев реальной жизни.
Вот почему много раз предлагалась гибридная модель RBAC и ABAC. Я до сих пор не могу понять эту гибридную модель и то, как эта модель преодолевает недостатки RBAC и ABAC.
ABAC сам по себе является единственным, поскольку его можно использовать для реализации политик RBAC. Когда люди ссылаются на гибридную модель RBAC / ABAC, они имеют в виду, что управление ролями и разрешениями по-прежнему осуществляется в системе управления идентификацией, например. LDAP, но теперь вы полагаетесь на политики (например, XACML) для управления фактической авторизацией.
Приложения по-прежнему могут использовать роли напрямую, но, скорее всего, будут полагаться на PEP для принятия решений об авторизации.
Ответить на этот вопрос непросто. Недостатки в глазу держателя. Но есть некоторые широко распространенные мнения об ограничениях RBAC. Например, проблема «ролевого взрыва». В этой статье, написанной мной, описывается проблема и способы ее решения в решении Apache Fortress RBAC. Заявление об отказе от ответственности, я участвую в проекте Apache Fortress.
https://iamfortress.net/2018/07/07/towards-an-attribute-based-role-based-access-control-system/
