1.为什么需要权限管理
(1):安全性:误操作、人为破坏、数据泄露等
(2):数据隔离:不同的权限能看到及操作不同的数据
(3):明确职责:运营、客服等不同角色,leader和dev等不同级别
2.权限管理核心
(1):用户——权限:人员少,功能固定,或者特别简单的系统
(2):RBAC(Role-Based Access Control)
用户-角色-权限,都是用
3.理想中的权限管理
(1):能实现角色级别权限:RBAC
(2):能实现功能级别、数据级别权限
(3):简单、易操作、能够应对各种需求
4.相关操作界面
(1):权限管理界面、角色管理界面、用户管理界面
(2):角色和权限关系维护界面、用户和角色关系维护界面
5.开源权限管理项目
(1):SpringSecurity
(2):Apache Shiro
Spring Security
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
private MyUserService myUserService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//基于内存验证
/*
* auth.inMemoryAuthentication().passwordEncoder(new
* MyPasswordEncoder()).withUser("admin").password("admin").roles("ADMIN");
* auth.inMemoryAuthentication().passwordEncoder(new
* MyPasswordEncoder()).withUser("zhangsan").password("123").roles("ADMIN");
* auth.inMemoryAuthentication().passwordEncoder(new
* MyPasswordEncoder()).withUser("demo").password("123").roles("USER");
*/
auth.userDetailsService(myUserService).passwordEncoder(new MyPasswordEncoder());
//数据库支持默认的处理
auth.jdbcAuthentication().usersByUsernameQuery("").authoritiesByUsernameQuery("").passwordEncoder(new MyPasswordEncoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/").permitAll()
.anyRequest().authenticated()
.and()
.logout().permitAll()
.and()
.formLogin();
http.csrf().disable();
}
@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/js/**","/css/**","images/**");
}
}
public class MyPasswordEncoder implements PasswordEncoder {
private final static String SALT ="123456";
@Override
public String encode(CharSequence rawPassword) {
Md5PasswordEncoder encoder = new Md5PasswordEncoder();
return encoder.encodePassword(rawPassword.toString(), SALT);
}
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
Md5PasswordEncoder encoder = new Md5PasswordEncoder();
return encoder.isPasswordValid(encodedPassword, rawPassword.toString(),SALT);
}
}
Spring Security优点
(1):提供了一套安全框架,而且这个框架是可以用的
(2):提供了很多用户认证的功能,实现相关接口即可,节约大量开发工作
(3):基于spring,易于集成到spring项目中,且封装了许多方法
Spring Security缺点
(1):配置文件多,角色“编码”到配置文件和源文件中,RBAC不明显
(2):对于系统中用户、角色、权限之间的关系,没有可操作的界面
(3):大数据量情况下,几乎不可用