权限设计(下) - 细说权限设计

什么是权限管理

一般来说,只要有用户参与的系统,那么都要有权限管理,尤其是一些后台的管理系统,

权限管理可以实现对用户访问系统的控制,按照安全规则或者相关策略的控制,可以使用户访问到只属于自己被授权的相关(比如菜单,或者页面资源)

权限管理包括用户认证和授权两模块

用户认证

用户认证,说白了就是登录的时候进行的验证,验证用户身份合法性。

最常见的用户身份验证的方式:

1、用户名 + 密码

2、手机号 + 验证码

3、证书验证

来看一下流程图:

 

 

用户授权

用户授权,浅白点讲就是权限访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问对于的资源

 

数据库模型

上篇文章中讲到了5张表,其实是由6张表而来,但是由于第六章表资源是可以整合的,所以可以避免冗余而采用了5张表,最简单的权限控制是至少由5张表来构成的

主体(账号、密码)

权限(权限名称、资源名称、资源访问地址)

角色(角色名称)

角色和权限关系(角色id、权限id

主体和角色关系(主体id、角色id

 

分配权限

用户需要被分配到相应的权限才可访问相应的资源,这些权限信息需要保存

把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)

 

 

基于角色的访问控制

就是判断用户是否是项目经理还是普通员工,访问的资源就不同

比如

if (user.role = [pm]) {

// 访问

}

if (user.role != [pm]) {

// 访问

}

这么做没问题,但是不容易维护,一旦权限变更,那么就要变更代码

基于资源的访问控制

if (user have [pm]) {

// 访问

} else if (user have [boss]) {

// 访问

}

这么做只要针对user配置权限,把对应的资源给他,那么就能访问,不需要每次修改代码,增加了可维护性

 

基于url拦截的方式实现

举个栗子:使用springMVC拦截器实现

拦截对应url,url配置一个私有拦截list,拦截到的list必须进行验证,

进入拦截器验证后查看是否存在token信息,如果不存在,拦截返回到web登录页面,或者json错误信息给手机端

同时验证的时候针对资源,需要判断是否能够访问,可以第一次查询数据库的资源信息缓存到session或者redis中

使用权限管理框架实现

1、spring security (目前连spring自己都抛弃了这个框架,因为太重了,现在拥抱了Apache Shiro)

2、Shiro (to be continued...)

 

posted @ 2016-06-07 08:35  风间影月  阅读(2439)  评论(0编辑  收藏  举报