中文
English 什么是权限管理:对用户访问系统进行控制,按照安全规则、安全策略控制用户只能访问被授权的资源,一般包含认证和授权两部分。
权限管理基本流程图
用户认证:验证用户身份的合法性,即用户登录,常用的身份认证方法:1.帐号密码 2.指纹 3.证书
用户认证的相关概念
subject:主体,可以是用户,也可以是程序来访问我们的系统资源
principal:身份信息(帐号),通常是唯一的,一个主体可以拥有多个身份信息,比如邮箱帐号,手机帐号,QQ帐号等,但只有一个主身份信息(primary principal)
credential:凭证,可以是密码、证书、指纹
用户授权:简单理解为访问控制,具有某种资源对应的权限才可以访问该资源
用户授权的相关概念
资源:resource,资源分为类资源(比如用户信息类、商品类)和实例资源(具体的id为01的用户)
资源分为3个控制级别
1.匿名资源:不用登录就可以访问的资源,比如首页,登录页,注册页等
2.公共资源:登录(身份认证)后可以访问的资源,不用权限,比如用户个人中心
3.权限资源:身份认证后还需要有相应的权限,比如vip才可以访问的资源
权限:permission,对资源进行的操作,比如增删改查
权限模型
主体(账号、密码)
资源(资源名称、访问地址url)
权限(权限名称、针对的资源id)
角色(角色名称,比如管理员,普通用户,VIP用户)
角色和权限关系(角色id、权限id)
主体和角色关系(主体id、角色id)
