隻要有使用者參與的系統一般都要有權限管理,權限管理實作對使用者通路系統的控制,按照安全規則或者安全政策控制使用者可以通路而且隻能通路自己被授權的資源。權限管理包括使用者認證和授權兩部分。
使用者認證
1.概念
使用者認證,使用者去通路系統,系統要驗證使用者身份的合法性。最常用的使用者身份驗證的方法:1、使用者名密碼方式、2、指紋打卡機、3、基于證書驗證方法。。系統驗證使用者身份合法,使用者方可通路系統的資源。
2.使用者認證流程
3.關鍵對象
subject:主體,了解為使用者,可能是程式,都要去通路系統的資源,系統需要對subject進行身份認證。
principal:身份資訊,通常是唯一的,一個主體還有多個身份資訊,但是都有一個主身份資訊(primary principal)
credential:憑證資訊,可以是密碼 、證書、指紋
總結:主體在進行身份認證時需要提供身份資訊和憑證資訊
使用者授權
1.概念
使用者授權,簡單了解為通路控制,在使用者認證通過後,系統對使用者通路資源進行控制,使用者具有資源的通路權限方可通路.
2.授權流程
3.關鍵對象
授權的過程了解為:who對what(which)進行how操作。
who:主體即subject,subject在認證通過後系統進行通路控制。
what(which):資源(Resource),subject必須具備資源的通路權限才可通路該 資源。資源比如:系統使用者清單頁面、商品修改菜單、商品id為001的商品資訊。
資源分為資源類型和資源執行個體:
系統的使用者資訊就是資源類型,相當于Java類。
系統中id為001的使用者就是資源執行個體,相當于new的java對象。
how:權限/許可(permission) ,針對資源的權限或許可,subject具有permission通路資源,如何通路/操作需要定義permission,權限比如:使用者添加、使用者修改、商品删除。
4. 權限模型
主體(賬号、密碼)
資源(資源名稱、通路位址)
權限(權限名稱、資源id)
角色(角色名稱)
角色和權限關系(角色id、權限id)
主體和角色關系(主體id、角色id)
如下圖:
通常企業開發中将資源和權限表合并為一張權限表,如下:
資源(資源名稱、通路位址)
權限(權限名稱、資源id)
合并為:
權限(權限名稱、資源名稱、資源通路位址)
上圖常被稱為權限管理的通用模型,不過企業在開發中根據系統自身的特點還會對上圖進行修改,但是使用者、角色、權限、使用者角色關系、角色權限關系是需要去了解的。
3.配置設定權限:
使用者需要配置設定相應的權限才可通路相應的資源。權限是對于資源的操作許可。通常給使用者配置設定資源權限需要将權限資訊持久化,比如存儲在關系資料庫中。把使用者資訊、權限管理、使用者配置設定的權限資訊寫到資料庫(權限資料模型)
4.權限控制:
1.基于角色的通路控制
RBAC(role based access control),基于角色的通路控制。
比如:
系統角色包括 :部門經理、總經理。。(角色針對使用者來劃分)
系統代碼中實作:
//如果該user是部門經理則可以通路if中的代碼
if(user.hasRole('部門經理')){
//系統資源内容
//使用者報表檢視
}
問題:
角色針對人劃分的,人作為使用者在系統中屬于活動内容,如果該 角色可以通路的資源出現變更,需要修改你的代碼了,比如:需要變更為部門經理和總經理都可以進行使用者報表檢視,代碼改為:
if(user.hasRole('部門經理') || user.hasRole('總經理') ){
//系統資源内容
//使用者報表檢視
}
基于角色的通路控制是不利于系統維護(可擴充性不強)。
2.基于資源的權限通路控制
RBAC(Resource based access control),基于資源的通路控制。
資源在系統中是不變的,比如資源有:類中的方法,頁面中的按鈕。
對資源的通路需要具有permission權限,代碼可以寫為:
if(user.hasPermission ('使用者報表檢視(權限辨別符)')){
//系統資源内容
//使用者報表檢視
}
上邊的方法就可以解決使用者角色變更不用修改上邊權限控制的代碼。
如果需要變更權限隻需要在配置設定權限子產品去操作,給部門經理或總經理增或删除權限。
建議使用基于資源的通路控制實作權限管理。
總結:
在想要對shiro有很好的了解,這些基礎知識是必須了解的.下篇部落格将講解權限管了解決方案.如果您喜歡博文,請點選末尾的"頂"