11.2. GUI 和 CLI 的基于角色的访问控制

当启用了基于角色的访问控制(RBAC)时,根据分配的角色,用户将不能运行某些操作、读取某些资源,甚至根本无法查看管理模型的某些部分。
管理控制台

在管理控制台里,根据你分配的角色的权限,有些控件和视图是禁用的(灰色)或不可见的。

如果你没有对某个资源属性的读权限,该权限将在控制台里显示为空白。例如,多数角色无法读取数据源的用户名和密码字段。

如果你没有对某个资源属性的写权限,该权限将在资源编辑表单里显示为禁用(灰色)。如果你根本没有对这个资源的写权限,那么整个编辑表单都不会出现。

如果你没有对某个资源或属性的访问权限(就是对于你的角色来说是“不可寻址的”),那它们根本不会出现在在控制台里。其中一个例子是,访问控制系统自身在默认情况下只对一些角色可见。
管理 API

启用了 RBAC 后,使用 jboss-cli.sh 工具或直接使用 API 的用户在 API 里会遇到稍许不同的行为。

无法读取的资源和属性将从结果里过滤。如果被过滤的内容是角色可以寻址的,那么它们的名称将列为结果里 response-headers 部分的 filtered-attributes。如果它们是无法被寻址的,那根本不会被列出。

试图访问不能寻址的资源将导致 "resource not found" 错误。

如果用户试图写入或读取他们可以寻址的资源但缺乏对应的读写权限,就会返回 "Permission Denied" 。