权限管理
只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户认证和授权两部分。shiro也是基于此来进行设计实现的
用户认证
用户认证一般流程如下:
关键对象
subject:主体,理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证。
principal:身份信息,通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)
credential:凭证信息,可以是密码 、证书、指纹。
用户授权
用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问。
授权流程如下:
关键对象
授权的过程理解:who对what(which)进行how操作。
who:主体即subject,subject在认证通过后系统进行访问控制。
what(which):资源(Resource),subject必须具备资源的访问权限才可访问该 资源。资源比如:系统用户列表页面、商品修改菜单、商品id为001的商品信息。
how:权限/许可(permission) ,针对资源的权限或许可,subject具有permission访问资源,如何访问/操作需要定义permission,权限比如:用户添加、用户修改、商品删除。
权限模型
- 主体(账号、密码)
- 角色(角色名称)
- 权限(权限名称、资源id)
- 资源(资源名称、访问地址)
- 角色和权限关系(角色id、权限id)
- 主体和角色关系(主体id、角色id)
权限模型图如下:
通常企业开发中将资源和权限表合并为一张权限表,如下:
分配权限
- 1)用户需要分配相应的权限才可访问相应的资源。权限是对于资源的操作许可。
- 2)通常给用户分配资源权限需要将权限信息持久化,比如存储在关系数据库中。
- 3)把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)
权限控制(授权核心)
基于角色的访问控制
RBAC(role based access control),基于角色的访问控制。
比如:
系统角色包括 :部门经理、总经理。。(角色针对用户来划分)
系统代码中实现:
//如果该user是部门经理则可以访问if中的代码
if(user.hasRole('部门经理')){
//系统资源内容
//用户报表查看
}
基于资源的访问控制
RBAC(Resource based access control),基于资源的访问控制。
资源在系统中是不变的,比如资源有:类中的方法,页面中的按钮。
对资源的访问需要具有permission权限,代码可以写为:
if(user.hasPermission ('用户报表查看(权限标识符)')){
//系统资源内容
//用户报表查看
}
权限管理解决方案
什么是粗粒度和细粒度权限
粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。
细粒度权限管理,数据级别的权限管理。比如:部门经理只可以访问本部门的员工信息,用户只可以看到自己的菜单,大区经理只能查看本辖区的销售订单。。
如何实现粗粒度和细粒度权限管理
- 如何实现粗粒度权限管理?
粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如:通过springmvc的拦截器实现授权。
- 如何实现细粒度权限管理?
对细粒度权限管理在数据级别是没有共性可言,针对细粒度权限管理就是系统业务逻辑的一部分,如果在业务层去处理相对比较简单,如果将细粒度权限管理统一在系统架构级别去抽取,比较困难,即使抽取的功能可能也存在扩展不强。
基于url拦截的方式实现
-
- 基于url拦截的方式实现在实际开发中比较常用的一种方式。
-
- 对于web系统,通过filter过虑器实现url拦截,也可以springmvc的拦截器实现基于url的拦截。
使用权限管理框架实现
- 对于粗粒度权限管理,建议使用优秀权限管理框架来实现,节省开发成功,提高开发效率。
- shiro就是一个优秀权限管理框架。