单点登录与权限管理本质:权限管理介绍

前面几篇文章介绍了单点登录的本质,包括cookie、session、重定向的基本概念,单点登录的基本交互流程,cookie的重要性和安全问题。单点登录能够确保:必须通过身份验证后,才能访问网站,且访问多个系统时,只需要登录一次。

该系列的完整写作计划,可见:系列概述

一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。

继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,本篇说说权限管理,主要从以下几个方面介绍:

  • 权限管理的一般模型
  • 权限验证范围
  • Shiro基本架构和扩展点
  • 系列第一部分总结

权限管理的一般模型

权限验证的过程比较简单,描述如下:

  1. 用户登录成功后,会将自己的个人信息和权限信息,保存到session中,可以存储在内存、redis中;
  2. 用户访问其他页面时,会根据访问路径,与用户权限数据进行匹配,验证是否有权限访问;
  3. 如果有权限,显示访问页面,如果无权限,提示用户无权访问;

如何管理和分配用户权限呢,一般会抽象出如下实体概念:

  1. 用户:访问系统的主体;
  2. 角色:分配权限的最小单元,通过角色给用户分配权限;
  3. 权限菜单:权限的最小单元,一个角色配置多个权限菜单;

另外,为了方便权限管理,会单独抽取一个服务「用户中心」,统一管理用户、角色和各个系统的权限菜单。权限菜单由各个子系统同步到「用户中心」或者提供批量导入的功能,权限菜单标识的规则要提前约定好,一致的菜单标识有助于权限拦截的判断。

简单截取几个我们项目中的页面,加深下理解:

  1. 添加用户时,需要选择角色
  1. 添加角色时,需要选择权限菜单
  1. 权限菜单由各个子系统同步过来

权限验证范围

用户拥有了访问和操作某些数据的权限,但不代表可以访问所有的数据,可能只能访问和操作自己的数据,可能只能访问和操作组内的数据,这是更细粒度的权限控制。

权限验证的位置可能在前端、可能在后端。前端根据当前用户的权限,显示不同的菜单项、操作按钮,后端根据当前用户的权限,验证操作的合法性,返回可访问的数据集合,权限验证位置也要考虑全面。

控制粒度

比如有这样一个场景:有一个查询订单接口供外部调用,可根据订单编号返回订单详情。

如果订单编号有规则可寻,且后端不对订单所属人进行判断,就可以查看其他人订单的信息,所以,需要更细粒度的判断,验证订单的所属人。

另外可以通过角色、菜单权限2个粒度进行权限验证:

<shiro:hasPermission name="permission1">
    <h2>拥有permission1权限可以看到这里</h2>
</shiro:hasPermission>
<shiro:hasRole name="role">
    <h2>拥有role角色可以看到这里</h2>
</shiro:hasRole>

验证位置

为了让用户体验足够好,用户无法操作的菜单项和操作按钮不需要再显示了,需要在前端进行验证,比如添加用户的操作:

<shiro:hasPermission name="user:add">
    <a href='user/add'>添加用户</a>
</shiro:hasPermission>

只有前端验证也不行,可以通过模拟HTTP请求绕过前端访问,后端也要进行验证,shiro提供了拦截器进行统一处理。

Shiro基本架构和扩展

Shiro是apache下的开源软件,一个的安全框架,对用户的身份和权限进行管理和验证,看看官网对它的概述:

Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management

本篇不会介绍Shiro的细节,只是通过介绍Shiro的基本组件,对应到权限管理的一般模型。

Shiro的基本架构如下:

  1. Subject:当前与用户交互的实体,包括用户、第三方服务、corn任务等,使用者只需通过该对象提供的一系列方法,统一与后端的安全管理模块交互, 对应模型中的「用户」;
  2. Authenticator:负责验证用户身份,用户尝试登陆时,会调用它的方法进行认证,它会根据配置,调用一个或多个Realm进行用户名和密码校验,对应模型中的「用户登陆操作」;
  3. Authorizer:负责验证用户访问权限,用户访问一个页面时,可以根据它提供的方法验证用户的权限,它也会调用一个或多个Realm获取用户的权限数据,对应模型中的「是否有权限访问」;
  4. SessionManager:提供一种健壮的方式管理用户会话,这是Shiro的一个独特特性,如果是一个Web/Servlet应用,默认会使用已有的会话管理,如果不是Web应用,Shiro会使用内置的会话管理器。它会调用SessionDAO进行会话持久化,对应模型中的「Session管理」;
  5. CacheManager:Shiro在Authenticator、Authorizer、SessionManager模块,会访问后端的存储系统,使用缓存管理可以提高数据访问的性能,可以很方便的与第三方缓存框架集成,比如Ehcache,Redis等;
  6. Realms:是程序和用户数据、权限数据的桥梁,以插件的方式提供扩展,可以配置一个或多个Realm为Authenticator和Authorizer模块提供数据支持;
  7. Cryptography:提供数据加解密的支持,它封装了相关接口,更易理解和使用;

通过上面的介绍可以看出,Shiro的基本组件与总结的「一般模型」是对应的,它帮助我们实现了整个用户验证、权限验证、会话管理的流程,同时提供缓存管理、加解密封装提高了性能和安全性,通过Realm插件的方式支持扩展,自定义实现类获取用户、权限数据。

以用户身份认证为例,说明几个组件的交互过程:

系列第一部分总结

到此,系列第一部分「单点登录与权限管理本质」就介绍完了,通过5篇文章,把自己想说的本质说完了,基础概念肯定会有遗漏,后续部分学习、总结过程中,会不断补充。

还原技术的本质,把复杂的技术、框架抽象来看,形成一个相对简单、容易理解的视图,能够更好的理解、扩展、应用它。

对于单点登录,通过cookie、http重定向,可自动进行跳转和身份验证,达到登录一次,可访问多个子系统的效果。

对于权限管理,了解其一般的模型和验证流程,加上成熟的实现框架,可以快速、全面、稳定地实现它,并在此基础上进行扩展。

另外,cookie、用户的账号权限信息很重要,要不断积累安全方面的知识,提高其安全性。

接下来的第二部分主要是实践,会仿照我们的系统做一个DEMO,利用CAS、Shiro框架实现单点登录和权限管理。另外,会抽象出一个「用户中心」,管理用户、角色、权限菜单,各个子系统通过同步方式同步自己的权限菜单。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏linux运维学习

linux学习第三十一篇:iptables规则备份和恢复,firewalld的9个zone,firewalld关于zone的操作,firewalld关于service的操作

iptables规则备份和恢复 保存和备份iptables规则 service iptables save //会把规则保存到/etc/sysconfig/ip...

25210
来自专栏实用工具入门教程

如何部署 Node.js 开发环境

Node.js是一个用于通用编程的JavaScript平台,允许用户快速构建网络应用程序。通过在前端和后端利用JavaScript,Node.js使开发更加一致...

4310
来自专栏小夜博客

使用iftop查看实时使用带宽

7479
来自专栏子勰随笔

SDK开发经验之自动构建

2109
来自专栏Java后端技术栈

简要分析ZooKeeper基本原理

最近一直有小伙伴私信我,问一些关于Zookeeper的知识,下边关于的Zookeeper的知识整理了一下,一起学习一下。

703
来自专栏PHP在线

post和get请求方式以及区别

1.一些枯燥的概念: Http定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。 URL全称是资源描述符,我们可以...

3048
来自专栏xcywt

记录我学github的路程(三)

2015-12-22 更新 一、Bug分支 1,假设如下场景,你正在dev分支工作,突然接到一个修复代号为101的bug的任务时,dev的东西还没不能提交,但是...

2149
来自专栏Rainbond开源「容器云平台」

好雨云帮每周更新日志(2017.02.27-2017.03.12)

1163
来自专栏淡定的博客

总结一下laravel中Hash::make()遇到的坑

==这里遇到的坑就是laravel框架中,每次hash的值都是不一致的,跟之前写过的md5不一样,md5是唯一的,但是只要保存进去了,就算hash以后的值是不一...

7203
来自专栏Albert陈凯

VMWare安装Linux操作系统CentOS

上篇文章我们介绍了如何在Windows操作系统中安装VMWare软件,并创建一个虚拟机,链接地址:http://www.jianshu.com/p/6b589e...

2724

扫码关注云+社区

领取腾讯云代金券