基于角色的访问控制试图允许管理员根据公司的组织结构来指定访问控制。RBAC 通过创建称为角色（Role）的新对象来达到此目的。您可以给用户分派执行某种工作职能的角色。在 RBAC 模型中，管理员使用角色来管理权限和分派。例如，公司可能创建一个称为销售经理（Sales Manager）的角色，销售经理需要这个角色来满足他们的工作需要。当雇佣销售经理时，就给他们分派销售经理角色，而他们可以立即具有这份工作所需的全部权限。当他们离开销售经理的职位时，就会被从销售经理角色中删除，并且不再具有销售经理的访问权限。由于角色使得可以根据公司的组织模型来授予访问权限，所以对于管理员来说，指定访问控制更显得直观和自然。图2标识了角色、用户和权限之间的关系。在这个模型中，角色是授予权限的对象，而且给用户分派了角色

 

图2 基于角色的访问

    RBAC 将用户的工作角色映射到应用程序权限，这样就可以根据用户工作角色来完成访问控制管理。RBAC 系统将用户角色成员资格转换成应用程序权限。由于权限是在角色上授予的，所以可以在角色上查询和更改权限，而无需检查特定的资源。在大多数环境中，一旦建立了角色权限，就很少会对角色权限进行更改（与角色分派中的更改相比）。这意味着管理员将必须设置角色，比如：雇员（Employee）、经理（Manager）和管理员（Administrator），但是一旦角色创建完毕，管理员就将管理角色中的成员而不是对象上的权限。?

(责任编辑：adminadmin2008)