Es el modelo tradicional y más extendido. Se basa en la idea de que los permisos no se asignan a personas, sino a funciones (Roles).
- Funcionamiento: 1. Se definen roles (ej: Administrador, Editor, Lector). 2. Se asignan permisos a esos roles (ej: el rol «Editor» puede borrar archivos). 3. Se asignan usuarios a esos roles.
- Ventaja principal: Facilidad de administración. Si un empleado cambia de departamento, solo le quitas su rol antiguo y le das el nuevo; no tienes que cambiar 200 permisos individuales.
- Concepto clave (Jerarquía): Los roles pueden ser jerárquicos. Un «Súper Jefe» puede heredar todos los permisos del «Jefe de Grupo».
- Limitación: Es estático. No tiene en cuenta el contexto. Si un «Editor» intenta borrar un archivo a las 3 de la mañana desde una IP de otro país, el RBAC le dejará hacerlo porque «es un Editor».