权限设计（下）

什么是权限管理

一般来说，只要有用户参与的系统，那么都要有权限管理，尤其是一些后台的管理系统，

权限管理可以实现对用户访问系统的控制，按照安全规则或者相关策略的控制，可以使用户访问到只属于自己被授权的相关（比如菜单，或者页面资源）

权限管理包括用户认证和授权两模块

用户认证

用户认证，说白了就是登录的时候进行的验证，验证用户身份合法性。

最常见的用户身份验证的方式：

1、用户名 + 密码

2、手机号 + 验证码

3、证书验证

来看一下流程图：

用户授权

用户授权，浅白点讲就是权限访问控制，在用户认证通过后，系统对用户访问资源进行控制，用户具有资源的访问权限方可访问对于的资源

数据库模型

上篇文章中讲到了5张表，其实是由6张表而来，但是由于第六章表资源是可以整合的，所以可以避免冗余而采用了5张表，最简单的权限控制是至少由5张表来构成的

主体（账号、密码）

权限（权限名称、资源名称、资源访问地址）

角色（角色名称）

角色和权限关系（角色id、权限id）

主体和角色关系（主体id、角色id）

分配权限

用户需要被分配到相应的权限才可访问相应的资源，这些权限信息需要保存

把用户信息、权限管理、用户分配的权限信息写到数据库（权限数据模型）

基于角色的访问控制

就是判断用户是否是项目经理还是普通员工，访问的资源就不同

比如

if (user.role = [pm]) {

// 访问

}

if (user.role != [pm]) {

// 访问

}

这么做没问题，但是不容易维护，一旦权限变更，那么就要变更代码

基于资源的访问控制

if (user have [pm]) {

// 访问

} else if (user have [boss]) {

// 访问

}

这么做只要针对user配置权限，把对应的资源给他，那么就能访问，不需要每次修改代码，增加了可维护性

基于url拦截的方式实现

举个栗子：使用springMVC**实现

拦截对应url，url配置一个私有拦截list，拦截到的list必须进行验证，

进入**验证后查看是否存在token信息，如果不存在，拦截返回到web登录页面，或者json错误信息给手机端

同时验证的时候针对资源，需要判断是否能够访问，可以第一次查询数据库的资源信息缓存到session或者redis中

使用权限管理框架实现

1、spring security (目前连spring自己都抛弃了这个框架，因为太重了，现在拥抱了Apache Shiro)

2、Shiro (to be continued...)

海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理：https://www.xlkjsw.com

原标题：权限设计（下）

关键词：