前面几篇文章介绍了单点登录的本质,包括cookie、session、重定向的基本概念,单点登录的基本交互流程,cookie的重要性和安全问题。单点登录能够确保:必须通过身份验证后,才能访问网站,且访问多个系统时,只需要登录一次。
该系列的完整写作计划,可见:系列概述
一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。
继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,本篇说说权限管理,主要从以下几个方面介绍:
- 权限管理的一般模型
- 权限验证范围
- Shiro基本架构和扩展点
- 系列第一部分总结
权限管理的一般模型
权限验证的过程比较简单,描述如下:
- 用户登录成功后,会将自己的个人信息和权限信息,保存到session中,可以存储在内存、redis中;
- 用户访问其他页面时,会根据访问路径,与用户权限数据进行匹配,验证是否有权限访问;
- 如果有权限,显示访问页面,如果无权限,提示用户无权访问;
如何管理和分配用户权限呢,一般会抽象出如下实体概念:
- 用户:访问系统的主体;
- 角色:分配权限的最小单元,通过角色给用户分配权限;
- 权限菜单:权限的最小单元,一个角色配置多个权限菜单;
另外,为了方便权限管理,会单独抽取一个服务「用户中心」,统一管理用户、角色和各个系统的权限菜单。权限菜单由各个子系统同步到「用户中心」或者提供批量导入的功能,权限菜单标识的规则要提前约定好,一致的菜单标识有助于权限拦截的判断。
简单截取几个我们项目中的页面,加深