shiro系列1-权限管理原理知识

什么是权限管理

只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源

权限管理包括用户认证和授权两部分。

用户认证

概念

用户认证,用户去访问系统,系统要验证用户身份的合法性。最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法等等。系统验证用户身份合法,用户方可访问系统的资源

关键对象

  • subject
    主体,理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证。
  • principal
    身份信息,通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)。
  • credential
    凭证信息,可以是密码 、证书、指纹。

主体在进行身份认证的时候需要提供身份认证信息和凭证信息。

用户授权

概念

用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问。

通俗一点,就是你能不能够登陆是一回事,你登陆了能不能访问这些资源是另外一回事。前者叫访问控制,后者叫用户授权。
注册了以后你拥有了访问系统和系统资源的权限,之后系统还会继续进行资源访问的权限分配,这个决定你能访问具体哪些系统的资源。

关键对象

授权的过程可以理解为:who要对what(which)进行how操作

  • who:主体即subject
    subject在认证通过后进行访问控制。
  • what(which):资源(resource
    subject必须具备资源的访问权限,方可访问该资源。资源比如,系统用户的列表页面、商品的修改菜单、商品id为001的商品信息,资源都是名词。
  • how:权限/许可(permission
    针对资源的权限或许可,subject必须具有permission才可以访问资源,如何访问/操作需要定义permission,比如用户的添加、用户的修改、商品的删除,都是动词。

资源分为资源类型和资源实例,关系类似于类和对象。

  • 资源类型
    • 系统的用户信息
  • 资源实例
    • 系统中id为001的用户

权限模型

  • 主体(账号、密码)
  • 资源(资源名称、访问地址)
  • 权限(权限名称、资源id)
  • 角色(角色名称)
  • 角色和权限关系(角色id、权限id)
  • 主体和角色关系(主体id、角色id)

把下面的两张表合并,合并为权限表。
权限(权限名称、资源名称、资源访问地址)

分配权限

  • 用户需要分配相应的权限才可访问相应的资源。权限是对于资源的操作许可。
  • 通常给用户分配资源权限需要将权限信息持久化,比如存储在关系数据库中。
  • 把用户信息、权限管理、用户分配的权限信息写到数据库(权限数据模型)

权限控制(授权核心)

基于角色的访问控制

RBAC(Role Bssed Access Control),基于角色的访问控制。
比如 系统角色包括 :部门经理、总经理等等(角色针对用户来划分)

系统代码中实现:

1
2
3
4
5
//如果该user是部门经理则可以访问if中的代码
if(user.hasRole('部门经理')){
//系统资源内容
//用户报表查看
}

问题
角色针对人划分的,人作为用户在系统中属于活动内容,如果该 角色可以访问的资源出现变更,需要修改你的代码了,比如:需要变更为部门经理和总经理都可以进行用户报表查看,代码改为:

1
2
3
4
if(user.hasRole('部门经理') || user.hasRole('总经理')){
//系统资源内容
//用户报表查看
}

基于角色的访问控制,不利于系统维护,可扩展性不强。

基于资源的访问控制

RBAC(Resource Based Access Control),基于资源的访问控制。
资源在系统中是不变的。对资源的访问需要具有permission权限。

1
2
3
4
if(user.hasPermission('用户报表查看')){
//系统资源内容
//用户报表查看
}

这种方式可以解决用户权限变更,不用修改权限控制的代码。
需要变更权限,只需要去分配权限模块,给那些用户去分配相应的权限即可。

建议使用,基于资源的访问控制,来完成权限管理工作。