4.4. 使用 RBAC 保护管理接口

JBoss EAP 提供在管理接口上使用 RBAC 的功能。RBAC 部分介绍了 RBAC 背后的概念。本例使用名为 exampleRealm 的安全域。安全配置的其余部分（包括角色解码器、安全域和身份验证工厂）与通过新 Identity Store 部分保护管理接口和应用部分中相同。通过设置管理接口的 provider 属性 to rbac 并使用所需的用户和角色更新 exampleRealm 来启用 RBAC。

在这种情况下，在现有安全域中添加了以下用户：

根据组成员资格，用户也映射到以下 RBAC 角色：

在启动时，JBoss EAP 加载核心服务和 elytron 子系统，它们将加载安全配置和 RBAC 配置。如果没有启用 RBAC，example Realm 中的任何用户 都将被视为 SuperUser，且具有无限访问权限。由于启用了 RBAC，因此每个用户现在都会根据他们的角色进行限制。Suzy、Tim、Emily、Zach 和 Natalie 具有不同的角色，如上表中所示。例如，只有 Suzy 和 Tim 才能读取和修改访问控制信息。Suzy、Tim 和 Emily 可以修改运行时状态和其他持久配置信息。Zach 还可以修改运行时状态和其他持久配置信息，但仅与应用资源相关。Suzy、Tim、Emily、Zach 和 Natalie 可以读取配置和状态信息，但 Natalie 无法更新任何内容。有关每个角色以及 JBoss EAP 如何处理 RBAC 的更多详细信息，请参阅基于角色的访问控制和将 RBAC 添加到管理接口部分。