什么是粗颗粒和细颗粒权限?
对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法,粗粒度的例子比
如:用户具有用户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度
权限管理,即控制都数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允
许到处自己创建的订单明细。
总结:
粗颗粒权限:针对 url 连接的控制
细颗粒权限:针对数据级别的控制
粗颗粒和细颗粒如何授权?
对于粗颗粒度的授权可以很容易做系统架构级别的功能,即系统功能操作使用的统一的粗颗
粒度的权限管理。
对于细颗粒度的授权不建议做成系统架构级别的狗能,因为对数据级别的控制是系统的业务
需求,随着业务需求的变更,业务功能变化的可能性最大建议对数据级别的权限控制在业务
层个性化开发。
粗颗粒权限:可以使用过滤器统一拦截 url
细颗粒权限:在 service 中控制,在程序级别来控制,个性化编程。
什么是 Token,什么是 Access Token ,什
么是 Refresh Token?
Token 的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。
当用户第一次登录后,服务器生成一个 token 并将此 token 返回给客户端,以后客户端只需
带上这个 token 前来请求数据即可,无需再次带上用户名和密码。简单 Token 的组成;uid(用
户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩
成的一定长度的十六进制字符串。为防止 token 泄露)。
Access Token 是在 Oauth2.0 协议中,客户端访问资源服务器时需要带上的令牌(其实就是
一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。令牌里面包含哪个用
户 在什么时候 授权给哪个 app 去做什么事情。当然这些信息是不能直接从 Access Token 看
出来的,而是存在平台方的数据库中,平台可以用 Access Token 作为 key 去查询出这些信
息,然后验证调用方是否有权限。
Refresh Token 是专用于刷新 Access Token 的 token。如果没有 Refresh Token,也可以刷新
Access Token,但每次刷新都要用户输入登录用户名与密码。有了 Refresh Token,客户端直
接用 Refresh Token 去更新 Access Token,无需用户进行额外的操作。
认证 (Authentication) 和授权
(Authorization)的区别是什么?
Authentication(认证) 是验证您的身份的凭据(例如用户名/用户 ID 和密码),通过这个
凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称
为身份/用户验证。
Authorization(授权) 发生在 Authentication(认证) 之后。授权嘛,光看意思大家应该
就明白,它主要掌管我们访问系统的权限。比如有些特定资源只能具有特定权限的人才能访
问比如 admin,有些对系统资源操作比如删除、添加、更新只能特定人才具有。
hasRole 和 hasAuthority 有区别吗?
在 Spring Security 中,hasRole 和 hasAuthority 都可以用来控制用户的访问权限,但它们有一
些细微的差别。
hasRole 方法是基于角色进行访问控制的。它检查用户是否有指定的角色,并且这些角色以
"ROLE_"前缀作为前缀(例如"ROLE_ADMIN")。
hasAuthority 方法是基于权限进行访问控制的。它检查用户是否有指定的权限,并且这些权
限没有前缀。
因此,使用 hasRole 方法需要在用户的角色名称前添加"ROLE_"前缀,而使用 hasAuthority 方
法不需要这样做。
扫一扫
1292
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
