基於角色的訪問控制（Role-Based Access Control）引入了Role的概念,目的是為了隔離User(即動作主體，Subject)與Privilege(許可權，表示對Resource的一個操作，即Operation+Resource)。
　　Role作為一個使用者(User)與許可權(Privilege)的代理層，解耦了許可權和使用者的關係，所有的授權應該給予Role而不是直接給User或Group。Privilege是許可權顆粒，由Operation和Resource組成，表示對Resource的一個Operation。例如，對於新聞的刪除操作。Role-Privilege是many-to-many的關係，這就是許可權的核心。
　　基於角色的訪問控制方法（RBAC）的顯著的兩大特徵是：1.由於角色/許可權之間的變化比角色/使用者關係之間的變化相對要慢得多，減小了授權管理的複雜性，降低管理開銷。2.靈活地支援企業的安全策略，並對企業的變化有很大的伸縮性。
　　RBAC基本概念：
　　RBAC認為許可權授權實際上是Who、What、How的問題。在RBAC模型中，who、what、how構成了訪問許可權三元組,也就是“Who對What(Which)進行How的操作”。
　　Who：許可權的擁用者或主體（如Principal、User、Group、Role、Actor等等）
　　What：許可權針對的物件或資源（Resource、Class）。
　　How：具體的許可權（Privilege,正向授權與負向授權）。
　　Operator：操作。表明對What的How操作。也就是Privilege+Resource
　　Role：角色，一定數量的許可權的集合。許可權分配的單位與載體,目的是隔離User與Privilege的邏輯關係.
　　Group：使用者組，許可權分配的單位與載體。許可權不考慮分配給特定的使用者而給組。組可以包括組(以實現許可權的繼承)，也可以包含使用者，組內使用者繼承組的許可權。User與Group是多對多的關係。Group可以層次化，以滿足不同層級許可權控制的要求。
　　RBAC的關注點在於Role和User, Permission的關係。稱為User assignment(UA)和Permission assignment(PA).關係的左右兩邊都是Many-to-Many關係。就是user可以有多個role，role可以包括多個user。
　　凡是用過RDBMS都知道，n:m 的關係需要一箇中間表來儲存兩個表的關係。這UA和PA就相當於中間表。事實上，整個RBAC都是基於關係模型。
　　Session在RBAC中是比較隱晦的一個元素。標準上說：每個Session是一個對映，一個使用者到多個role的對映。當一個使用者啟用他所有角色的一個子集的時候，建立一個session。每個Session和單個的user關聯，並且每個User可以關聯到一或多個Session.
　　在RBAC系統中，User實際上是在扮演角色(Role)，可以用Actor來取代User，這個想法來自於Business Modeling With UML一書Actor-Role模式。考慮到多人可以有相同許可權，RBAC引入了Group的概念。Group同樣也看作是Actor。而User的概念就具象到一個人。
　　這裡的Group和GBAC（Group-Based Access Control）中的Group（組）不同。GBAC多用於作業系統中。其中的Group直接和許可權相關聯，實際上RBAC也借鑑了一些GBAC的概念。
　　Group和User都和組織機構有關，但不是組織機構。二者在概念上是不同的。組織機構是物理存在的公司結構的抽象模型，包括部門，人，職位等等，而許可權模型是對抽象概念描述。組織結構一般用Martin fowler的Party或責任模式來建模。
　　Party模式中的Person和User的關係，是每個Person可以對應到一個User，但可能不是所有的User都有對應的Person。Party中的部門Department或組織Organization，都可以對應到Group。反之Group未必對應一個實際的機構。例如，可以有副經理這個Group，這是多人有相同職責。
　　引入Group這個概念，除了用來解決多人相同角色問題外，還用以解決組織機構的另一種授權問題：例如，A部門的新聞我希望所有的A部門的人都能看。有了這樣一個A部門對應的Group，就可直接授權給這個Group。

相關連結：

我對RBAC模型的改進最佳化研究成果分享