Shiro基础学习(一)—权限管理

一、基本概念

1.权限管理

     只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

    权限管理包括用户认证和授权两部分。

 

2.用户认证

    用户认证,用户去访问系统,系统要验证用户身份的合法性。

最常用的用户身份验证的方法:

(1)用户名密码方式

(2)指纹打卡机、

(3)基于证书验证方法。

系统验证用户身份合法,用户方可访问系统的资源。

(1)用户认证的流程

    

 

(2)关键对象

subject: 主体,理解为用户,可能是程序,都要去访问系统的资源,系统需要对subject进行身份认证。

principal: 身份信息,通常是唯一的,一个主体还有多个身份信息,但是都有一个主身份信息(primary principal)。

credential: 凭证信息,可以是密码 、证书、指纹。

总结:主体在进行身份认证时需要提供身份信息和凭证信息。

 

 

3.用户授权

     用户授权,简单理解为访问控制,在用户认证通过后,系统对用户访问资源进行控制,用户具有资源的访问权限方可访问。

流程:

    

 

4.权限模型

主体(账号、密码)

资源(资源名称、访问地址)

权限(权限名称、资源id)

角色(角色名称)

角色和权限关系(角色id、权限id)

主体和角色关系(主体id、角色id)

    

 

(1)基于角色份的访问控制

系统角色包括: 部门经理、总经理(角色针对用户来划分)。

系统代码中实现:

//如果该user是部门经理则可以访问if中的代码

if(user.hasRole(‘部门经理‘)){

     //系统资源内容

     //用户报表查看

}

问题:

角色针对人划分的,人作为用户在系统中属于活动内容,如果该 角色可以访问的资源出现变更,需要修改你的代码了,比如:需要变更为部门经理和总经理都可以进行用户报表查看,代码改为:

if(user.hasRole(‘部门经理‘) || user.hasRole(‘总经理‘) ){

     //系统资源内容

     //用户报表查看

}

基于角色的访问控制是不利于系统维护(可扩展性不强)。

 

(2)基于资源的访问控制

资源在系统中是不变的,比如资源有: 类中的方法,页面中的按钮。

对资源的访问需要具有permission权限,代码可以写为:

if(user.hasPermission (‘用户报表查看(权限标识符)‘)){

     //系统资源内容

     //用户报表查看

}

上边的方法就可以解决用户角色变更不用修改上边权限控制的代码。

如果需要变更权限只需要在分配权限模块去操作,给部门经理或总经理增或删除权限。

建议使用基于资源的访问控制实现权限管理。

 

5.粗粒度和细粒度权限

(1)粗粒度权限管理

粗粒度权限管理,对资源类型的权限管理。

资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。

粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。

部门管理员可以访问用户信息页面包括页面中所有按钮。

 

(2)细粒度权限管理

细粒度权限管理,对资源实例的权限管理。

资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、行政部的员工。

细粒度权限管理就是数据级别的权限管理。

细粒度权限管理比如:部门经理只可以访问本部门的员工信息,用户只可以看到自己的菜单,大区经理只能查看本辖区的销售订单。

 

粗粒度和细粒度例子

     系统有一个用户列表查询页面,对用户列表查询分权限,如果粗颗粒管理,张三和李四都有用户列表查询的权限,张三和李四都可以访问用户列表查询。

     进一步进行细颗粒管理,张三(行政部)和李四(开发部)只可以查询自己本部门的用户信息。张三只能查看行政部 的用户信息,李四只能查看开发部门的用户信息。细粒度权限管理就是数据级别的权限管理。

 

(3)如何实现粗粒度和细粒度权限管理

如何实现粗粒度权限管理?

     粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如:通过springmvc的拦截器实现授权。

 

如何实现细粒度权限管理?

     对细粒度权限管理在数据级别是没有共性可言,针对细粒度权限管理就是系统业务逻辑的一部分,如果在业务层去处理相对比较简单,如果将细粒度权限管理统一在系统架构级别去抽取,比较困难,即使抽取的功能可能也存在扩展不强。建议细粒度权限管理在业务层去控制。

比如:部门经理只查询本部门员工信息,在service接口提供一个部门id的参数,controller中根据当前用户的信息得到该 用户属于哪个部门,调用service时将部门id传入service,实现该用户只查询本部门的员工。

时间: 2024-12-20 03:34:08

Shiro基础学习(一)—权限管理的相关文章

Oracle基础学习5-- Oracle权限之”角色”

任何与权限相关的东西都少不了"角色"的概念,Java如此,.Net如此,Oracle当然也不例外. 角色其实就是权限的集合,将多个权限打包到一个角色中,这样每个角色有特定的权限.当需要给某个对象赋予某种权限时,就找到具有相应权限的角色,然后将它加到这个集合当中.下面就简单看看Oracle中角色的运用. 上篇文章讲到,为了给多用户授予各种权限,我们用到了"权限传递"来代替给用户们一个个授权,简化了授权过程.但这种方式较之用"角色"方式授权还是有很多

Liunx基础-文件的权限管理

1.Linux每个文件中,分为用户,用户组和其他人三种身份.在ls -l显示的文件属性中,第一位显示的是文件的类型,接下来三个为一组共三组,分别代表用户,用户组,其他人的权限,有r,w,x三种. ?? 如上图所示,第一位横杠代表是一个文件,后面三位分别代表了文件的用户,用户组和其他人的权限. 用户权限为rwx=读写执行,用户组权限为r-x=读和执行,其他人权限为r-x=读和执行. 2.注意,当要开放目录给任何人浏览时,至少要给予r和x的权限,但是w写入权限不可以随便赋予. 3.利用chmod可以

Oracle基础学习4--Oracle权限传递

下面将用一个实例来讲解: 首先用oracle系统用户(sysdba身份)连接到Oracle 然后创建两个用户"lisi"和"zhangsan" 然后为lisi授权,授创建表的权限 lisi连接到数据库,并创建一个表mytable 为zhangsan授予连接到数据库.创建表等权限,并连接到Oracle 我们要知道,lisi创建的表mytable的操作权限只有lisi(还有系统用户)自己拥有,其它用户(比如zhangsan)是不拥有权限的,下面我们以将lisi的表myt

六、EnterpriseFrameWork框架基础功能之权限管理

回<[开源]EnterpriseFrameWork框架系列文章索引> 从本章开始进入框架的第二块内容“EnterpriseFrameWork框架的基础功能”,包括:权限管理.字典数据管理.报表管理和消息管理四块,这些功能又包括两个版本,Web版和Winform版也就是说有两套界面: 既然开始讲基础功能,顺便说一下EnterpriseFrameWork框架的适用范围,前面也有提到过就是此框架适合中小团队这是一方面,还一方面就是此框架适合行业应用系统软件的开发,你用它做一个“超市库存管理系统”.“

MongoDB学习笔记—权限管理

1.MongoDB权限介绍 a 上篇文章中,我们在Linux下配置了MongoDB环境并且将其设置为服务随机器启动而启动,那么接下来这篇文章我们就来简单说一下MongoDB下对登录用户权限的管理. b  MongoDB安装完成后,默认是不需要输入用户名密码即可登录的,但是往往数据库方面我们会处于安全性的考虑而设置用户名密码,本篇文章主要介绍了MongoDB添加管理员/普通用户的方法. c 在我们使用的关系型数据库中,一般都是含有权限控制的,也就是说配置什么用户访问什么数据库,什么数据表,什么用户

7. 整合shiro,搭建粗粒度权限管理

shiro是一个易用的权限管理框架,只需提供一个Realm即可在项目中使用,本文就将结合上一篇中搭建的权限模块.角色模块和用户模块来搭建一个粗粒度的权限管理系统,具体如下:1. 添加shiro依赖和与thymeleaf集成的依赖,并更新项目: 1 <dependency> 2 <groupId>org.apache.shiro</groupId> 3 <artifactId>shiro-spring</artifactId> 4 <vers

Linux学习笔记——权限管理(六)

1. ACL权限 简介:专业用于解决身份不够用的问题(与windows权限分配思路类似) 查看分区ACL权限是否开启:dumpe2fs -h /dev/sda3 选项:-h     仅显示超级块中的信息 临时开启分区ACL权限:mount -o remount,acl / 永久开启ACL权限:修改自动挂载文件/etc/fstab 查看与设定ACL权限 查看ACL权限命令:getfacl 文件名 设定ACL权限命令:setfacl 文件名 选项: -m     设定ACL权限     用户——se

oracle学习之权限管理

       在创建用户之后,用户不能干任何事情,登录数据库都会报ORA-01045: user XIAOMING lacks CREATE SESSION privilege; logon denied错误.这时我们就应该给用户授权.先来了解Oracle的权限管理. 一.权限概述        Oracle数据库是利用权限来进行安全管理的,权限是Oracle安全机制重要组成部分.这些权限可以分了两类:系统权限和对象权限. 系统权限:系统权限是指在系统级控制数据库的存取和使用的机制,即执行某种语

linux 学习8 权限管理

第八章 权限管理 8.1 ACL权限 8.2 文件特殊权限 8.3 文件系统属性chattr权限 8.4 系统命令sudo权限 8.1 ACL权限 8.1.1 ACL权限简介与开启 8.1.2 查看与设定ACL权限 8.1.3 最大有效权限与删除ACL权限 8.1.4 默认ACL权限和递归ACL权限 8.1.1 ACL权限简介与开启 一般默认即开启acl. 1.ACL权限简介 //管理除了三种身份以外的权限 2.查看分区ACL权限是否开启 [[email protected] ~]# dumpe