Attribute-based access control (модель разграничения доступа на основе атрибутов)

• 
  Управление доступом на основе атрибутов
  
• 
  Субъекты и объекты наделяются атрибутами
  
• 
  Политики вычисляют условия, заданные через выражения атрибутов субъекта и объекта
  
• 
  Пример: Пользователь может подтвердить заказ, если подразделение пользователя равно подразделению, в котором создан заказ, и должность субъекта – менеджер
  

Для выполнения авторизации значения всех атрибутов берутся в момент проверки прав и сравниваются с ожидаемыми значениями. Выполнение всех условий обеспечивает доступ к ресурсу.

Многомерные правила в этой модели не становятся более сложными

ABAC позволяет избежать проблем, которые появляются в RBAC:

• 
  бизнес-правило не «размазывается» по системе, что делает его понимание и поддержку достаточно простыми;
  
• 
  не происходит взрывного роста числа условий, что упрощает их сопровождение.
  
• 
  ABAC позволяет решить проблемы, которые невозможно решить с помощью RBAC, поскольку в этом подходе нет ограничений на сложность бизнес-правил. Бизнес-правила любой сложности, в том числе с использованием заранее неизвестных атрибутов, не создают новых проблем и просты в сопровождении.
  

Первые три условия можно проверить еще до обращения к данным. А последнее условие можно использовать в качестве предиката для получения только разрешенных данных.

Как видно из сравнения, RBAC хорошо подходит только для реализации простых бизнес-правил. С увеличением сложности правил целесообразность использования RBAC уменьшается из-за растущей стоимости поддержки системы контроля доступа, а начиная с определенного уровня сложности правил этот подход вообще не дает результата.