基本概念
认证(你是谁)
1.什么是认证
用户认证就是判断一个用户的身份是否合法的过程(登录),用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。
2.常见的认证方式
常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,社交登录,指纹认证等方式。
3.会话
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式,基于token方式等。
基于session的认证方式如下图:
基于token的认证方式如下图:
基于session的认证方式由Servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式。如今移动互联网时代更多类型的客户端需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更合适。
授权(你能干什么)
1.什么是授权
授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。
2.授权的数据模型
授权可简单理解为Who对What(which)进行How操作
2.1:Who
Who,即主体(Subject),主题一般是指用户,也可以是程序,需要访问系统中的资源。
2.2:What
What,即资源(Resource),如系统菜单,页面,按钮,代码方法,系统商品信息,系统订单信息等。系统菜单、页面、按钮、代码方法都属于系统功能资源,对于web系统每个功能资源通常对应一个URL;系统商品信息、系统订单信息都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号 为001的商品为资源实例。
2.3:How
How,权限/许可 (Permission),规定了用户对资源的操作许可,权限离开资源没有意义,如用户查询权限,用户添加权限,某个代码方法的调用权限,编号为001的用户的修改权限等,通过权限可知用户对那些资源都有那些操作许可。
3.RBAC
3.1:RBAC简介
是基于角色的访问控制的意思,一种授权模型,业界通常基于RBAC实现授权。
3.2:基于角色的访问控制
RBAC是基于角色的访问控制(Role-Based Access Control),是按角色进行授权的,比如:主题的角色为总经理可以查询企业运营报表,查询员工工资信息等,访问控制流程如下:
根据上图中的判断逻辑,授权伪代码如下:
if(主体.hasRole("总经理角色id")){
查询工资
}
如果上图中查询工资所需要的角色变化为总经理和部门经理,此时就需要修改判断逻辑为“判断用户的角色是否是总经理或部门经理”,修改代码如下:
if(主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){
查询工资
}
根据上边的例子发现,当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。
3.3:基于资源的访问控制
RBAC基于资源的访问控制(Resource-Based Access Control)是按资源(或权限)进行授权,比如:用户必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下:
伪代码如下:
if(主体.hasPermission("查询工资权限标识")){
查询工资
}
优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强。