目前为止咱们的应用所有人都是可以自由访问的,但是有些功能不能让所有人使用,那么咱们就必须处理应用权限管理问题。权限管理分为两部分,用户认证(Authentication)和用户授权(Authorization)。用户认证解决访问用户的合法身份问题,用户授权解决访问资源是否有权限问题。
咱们应用是web应用,所以访问资源是URL请求。从技术层面使用拦截器对所有应用请求进行拦截,然后进行权限管理操作。web应用可以配置多个拦截器依次处理同一个请求,形成拦截器链机制。我们可以建立权限管理拦截器链。
我们可以从这个拦截器链模型中看出,用户认证是权限管理的基础,然后才是用户授权验证。最简单的权限管理就是只做用户认证,可以自己写一个拦截器拦截所有请求,根据判断是否用户登录,来决定是否可以访问资源。但是这种方案会有安全隐患,不能认为所有的合法用户都是可信任的,理论上合法用户可以越权访问资源,如果遇到恶意攻击者,这样是非常危险的。所以还是需要从根本上解决权限管理问题,让我们来看看用户认证和用户授权的处理流程。
按照不重复造轮子的原则,咱们没必要自己去实现权限管理的这套理论,已经有大量开源框架很好的解决了权限管理问题,比如shiro、springsecurity。咱们将这些框架按照实际项目需求,正确的使用就可以了。下一篇咱们就来学习springsecurity的基本使用方法。
回顾总结,权限管理分为用户认证和用户授权两部分组成,web应用采用拦截器链的技术机制,建议使用springsecurity框架。
4857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
