权限管理的基础知识
模型
粗粒度和细粒度的概念
回顾URL拦截的实现
Shiro的介绍与简单入门
一、Shiro基础知识在学习Shiro这个框架之前,首先我们要先了解Shiro需要的基础知识:权限管理
1.1什么是权限管理?只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
对权限的管理又分为两大类别:
用户认证
用户授权
1.1.1用户认证用户认证,用户去访问系统,系统要验证用户身份的合法性
最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户方可访问系统的资源。
举个例子:
当我们输入了自己的淘宝的账户和密码,才能打开购物车
用户认证的流程:
判断该资源能否不认证就能访问【登陆页面、首页】
如果该资源需要认证后才能访问,那么判断该访问者是否认证了
如果还没有认证,那么需要返回到【登陆页面】进行认证
认证通过后才能访问资源
从用户认证我们可以抽取出这么几个概念
subject主体:理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证
principal身份信息:通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)【我们可以选择身份证认证、学生证认证等等都是我们的身份信息】
credential凭证信息:可以是密码 、证书、指纹。
总结:主体在进行身份认证时需要提供身份信息和凭证信息。
1.1.2用户授权用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问。
用户授权的流程
到达了用户授权环节,当然是需要用户认证之后了
用户访问资源,系统判断该用户是否有权限去操作该资源
如果该用户有权限才能够访问,如果没有权限就不能访问了
授权的过程可以简单理解为:主体认证之后,系统进行访问控制
subject必须具备资源的访问权限才可访问该资源..
权限/许可(permission) :针对资源的权限或许可,subject具有permission访问资源,如何访问/操作需要定义permission,权限比如:用户添加、用户修改、商品删除
资源可以分为两种
资源类型:系统的用户信息就是资源类型,相当于java类。
资源实例:系统中id为001的用户就是资源实例,相当于new的java对象。
1.2权限管理模型一般地,我们可以抽取出这么几个模型:
主体(账号、密码)
资源(资源名称、访问地址)
权限(权限名称、资源id)
角色(角色名称)
角色和权限关系(角色id、权限id)
主体和角色关系(主体id、角色id)
通常企业开发中将资源和权限表合并为一张权限表,如下:
资源(资源名称、访问地址)
权限(权限名称、资源id)
合并为:
权限(权限名称、资源名称、资源访问地址)
1.3分配权限用户需要分配相应的权限才可访问相应的资源。权限是对于资源的操作许可。
通常给用户分配资源权限需要将权限信息持久化,比如存储在关系数据库中。把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)
1.3.1基于角色访问控制RBAC(role based access control),基于角色的访问控制。
//如果该user是部门经理则可以访问if中的代码 if(user.hasRole('部门经理')){ //系统资源内容 //用户报表查看 }