【shiro从入门到实战教程】第一章 权限管理原理知识

一、权限管理原理知识

1.1 什么是权限管理

	只要有用户参与的系统一般都要有权限管理，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

	权限管理包括用户认证和用户授权两部分。

1.2 用户认证

1.2.1 概念

    用户认证：用户去访问系统，系统要验证用户身份的合法性。
    
    最常用的用户身份验证的方法：
		1、用户名密码方式。
		2、指纹打卡机、指纹解锁，人脸识别。
  		3、基于证书验证方法。

    系统验证用户身份合法，用户方可访问系统的资源。

1.2.2 用户认证流程

1.2.3 关键对象

	subject：主体，理解为用户，可能是程序，都要去访问系统的资源，系统需要对subject进行身份认证。

	principal：身份信息，通常是唯一的，一个主体可以有多个身份信息（比如用户名、手机号、邮箱），但是都有一个主身份信息（primary principal）。

	credential：凭证信息，可以是密码、证书、指纹。

	总结：主体在进行身份认证时需要提供身份信息和凭证信息。

1.3 用户授权

1.3.1 概念

	用户授权，简单理解为访问控制，在用户认证通过后，系统对用户访问资源进行控制，用户具有资源的访问权限方可访问。

1.3.2 授权流程

1.3.3 关键对象

	授权的过程理解为：who 对 what(which) 进行 how 操作。
	
	who：主体即subject，subject在认证通过后系统进行访问控制。
		
	what(which)：资源(Resource)，subject必须具备资源的访问权限才可访问该资源。
		例如：系统用户、学生、员工都是资源。
			
	how：权限/许可(permission)，针对资源的权限或许可，subject具有permission访问资源，如何访问/操作需要定义permission，权限比如：用户添加、用户修改、商品删除。

1.3.4 权限模型

	主体（账号、密码）。

    资源（资源名称、访问地址）。

    权限（权限名称、资源id）。

    角色（角色名称）。

    角色和权限关系（角色id、权限id）。

    主体和角色关系（主体id、角色id）。

	通常企业开发中将资源和权限表合并为一张权限表，如下：
		资源（资源名称、访问地址）。
		权限（权限名称、资源id）。
		合并为：权限（权限名称、资源名称、资源访问地址）。

	上图常被称为权限管理的通用模型，不过企业在开发中根据系统自身的特点还会对上图进行修改，但是用户、角色、权限、用户角色关系、角色权限关系是需要去理解的。

1.3.5 权限控制(授权核心)

1.3.5.1 基于角色的访问控制

	RBAC(Role Based Access Control)，基于角色的访问控制。

	比如：系统角色包括部门经理、总经理...（角色针对用户来划分）。

系统代码中实现：

//如果该user是部门经理则可以访问if中的代码
if(user.hasRole('部门经理')) {
    
    
    //系统资源内容
    //用户报表查看
}

问题：

	角色针对人划分的，人作为用户在系统中属于活动内容，如果该角色可以访问的资源出现变更，需要修改你的代码了，比如：需要变更为部门经理和总经理都可以进行用户报表查看，代码改为：

if(user.hasRole('部门经理') || user.hasRole('总经理')) {
    
    
    //系统资源内容
    //用户报表查看
}

基于角色的访问控制是不利于系统维护（可扩展性不强）。

1.3.5.2 基于资源的访问控制

    RBAC(Resource Based Access Control)，基于资源的访问控制。

    资源在系统中是不变的，比如资源有：类中的方法，页面中的按钮。

    对资源的访问需要具有permission权限，代码可以写为：

if(user.hasPermission('用户报表查看（权限标识符）')) {
    
    
    //系统资源内容
    //用户报表查看
}

	上边的方法就可以解决用户角色变更不用修改上边权限控制的代码。

	如果需要变更权限只需要在分配权限模块去操作，给部门经理或总经理增或删除权限。
	
	建议使用基于资源的访问控制实现权限管理。

1.4 粗粒度与细粒度权限控制

1.4.1 什么是粗粒度和细粒度权限

    粗粒度权限管理，对资源类型的权限管理。资源类型比如：菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮等。

    粗粒度权限管理比如：
    	超级管理员可以访问户添加页面、用户信息等全部页面。
		部门管理员可以访问用户信息页面包括页面中所有按钮。

    细粒度权限管理就是数据级别的权限管理。

    细粒度权限管理比如：
    	部门经理只可以访问本部门的员工信息，用户只可以看到自己的菜单，大区经理只能查看本辖区的销售订单等。
    
    粗粒度和细粒度例子：
		系统有一个用户列表查询页面，对用户列表查询分权限。
		如果粗粒度管理，张三和李四都有用户列表查询的权限，张三和李四都可以访问用户列表数据。
		如果进行细粒度管理，张三（行政部）和李四（开发部）只可以查询自己本部门的用户信息。张三只能查看行政部的用户信息，李四只能查看开发部门的用户信息。

1.4.2 如何实现粗粒度和细粒度权限管理

如何实现粗粒度权限管理？

	粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如：通过SpringMVC的拦截器实现授权。

如何实现细粒度权限管理？

	对细粒度权限管理在数据级别是没有共性可言，针对细粒度权限管理就是系统业务逻辑的一部分，如果在业务层去处理相对比较简单，如果将细粒度权限管理统一在系统架构级别去抽取，比较困难，即使抽取的功能可能也存在扩展不强。

	建议细粒度权限管理在业务层去控制。

	比如：部门经理只查询本部门员工信息，在service接口提供一个部门id的参数，controller中根据当前用户的信息得到该用户属于哪个部门，调用service时将部门id传入service，实现该用户只查询本部门的员工。

1.4.3 基于url拦截的方式实现

	基于url拦截的方式实现在实际开发中比较常用的一种方式。

	对于web系统，通过filter过虑器实现url拦截，也可以springmvc的拦截器实现基于url的拦截。

	使用权限管理框架实现，对于粗粒度权限管理，建议使用优秀权限管理框架（apache shiro) 来实现，节省开发成功，提高开发效率。

`

1.4.3 基于url拦截的方式实现

	基于url拦截的方式实现在实际开发中比较常用的一种方式。

	对于web系统，通过filter过虑器实现url拦截，也可以springmvc的拦截器实现基于url的拦截。

	使用权限管理框架实现，对于粗粒度权限管理，建议使用优秀权限管理框架（apache shiro) 来实现，节省开发成功，提高开发效率。