前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >权限设计(下) - 细说权限设计

权限设计(下) - 细说权限设计

作者头像
风间影月
发布2018-04-04 15:48:51
3.4K0
发布2018-04-04 15:48:51
举报
文章被收录于专栏:BeJavaGod

什么是权限管理

一般来说,只要有用户参与的系统,那么都要有权限管理,尤其是一些后台的管理系统,

权限管理可以实现对用户访问系统的控制,按照安全规则或者相关策略的控制,可以使用户访问到只属于自己被授权的相关(比如菜单,或者页面资源)

权限管理包括用户认证和授权两模块

用户认证

用户认证,说白了就是登录的时候进行的验证,验证用户身份合法性。

最常见的用户身份验证的方式:

1、用户名 + 密码

2、手机号 + 验证码

3、证书验证

来看一下流程图:

用户授权

用户授权,浅白点讲就是权限访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问对于的资源

数据库模型

上篇文章中讲到了5张表,其实是由6张表而来,但是由于第六章表资源是可以整合的,所以可以避免冗余而采用了5张表,最简单的权限控制是至少由5张表来构成的

主体(账号、密码)

权限(权限名称、资源名称、资源访问地址)

角色(角色名称)

角色和权限关系(角色id、权限id)

主体和角色关系(主体id、角色id)

分配权限

用户需要被分配到相应的权限才可访问相应的资源,这些权限信息需要保存

把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)

基于角色的访问控制

就是判断用户是否是项目经理还是普通员工,访问的资源就不同

比如

if (user.role = [pm]) {

// 访问

}

if (user.role != [pm]) {

// 访问

}

这么做没问题,但是不容易维护,一旦权限变更,那么就要变更代码

基于资源的访问控制

if (user have [pm]) {

// 访问

} else if (user have [boss]) {

// 访问

}

这么做只要针对user配置权限,把对应的资源给他,那么就能访问,不需要每次修改代码,增加了可维护性

基于url拦截的方式实现

举个栗子:使用springMVC拦截器实现

拦截对应url,url配置一个私有拦截list,拦截到的list必须进行验证,

进入拦截器验证后查看是否存在token信息,如果不存在,拦截返回到web登录页面,或者json错误信息给手机端

同时验证的时候针对资源,需要判断是否能够访问,可以第一次查询数据库的资源信息缓存到session或者redis中

使用权限管理框架实现

1、spring security (目前连spring自己都抛弃了这个框架,因为太重了,现在拥抱了Apache Shiro)

2、Shiro (to be continued...)

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2016-06-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 BeJavaGod 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 什么是权限管理
  • 用户认证
  • 用户授权
    • 数据库模型
      • 分配权限
        • 基于角色的访问控制
        • 基于资源的访问控制
    • 使用权限管理框架实现
    相关产品与服务
    验证码
    腾讯云新一代行为验证码(Captcha),基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证。最大程度保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下业务安全的同时,提供更精细化的用户体验。
    领券
    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档