Tengo recursos en una aplicación. Además, tengo una tabla con todos los recursos y, para cada recurso, a qué rol se le permite acceder. También he definido una tabla que contiene todos los usos registrados en mi sistema y las funciones que pueden desempeñar.
Mi pregunta ahora: ¿Se trata de una ACL gestionada con roles (que también podría denominarse grupos)? ¿O es esto un control de acceso plano basado en roles? Realmente no veo la diferencia entre estos dos.
Gracias.
¿Importa?
Son ambos o es el que tiene sentido. Probablemente uno tiene sentido en un contexto y el otro en otro.
Mi experiencia está en Directorios de empresas, por lo que me gustaría hablar de RBAC y creo que esto es más comprensible para el negocio. Pero los ACL son más comprensibles para los técnicos de infraestructura.
Entonces, ¿quién es tu audiencia?
Además, ¿a dónde vas con la aplicación? ¿Qué es su futuro? ¿Obtendrá más capacidades? Creo que es más fácil hablar de RBAC a medida que creas más capas, como el control basado en la ubicación.
Lea otras preguntas en las etiquetas authorization rbac