认证授权-SpringSecurity
学习目标
-
了解认证授权基本概念及权限数据模型
-
了解常见的认证方式
-
了解什么是JWT及JWT的数据组成和使用
-
掌握SpringSecurity的基本入门操作
第二章 认证授权概述
1、认证授权概念介绍
1.1 什么是认证
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。
当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。
简单说: 认证就是让系统知道我们是谁。
1.2 什么是授权
认证是为了保护身份的合法性,授权则是为了更细粒度的对数据进行划分,授权是在认证通过的前提下发生的。控制不同的用户能够访问不同的资源。
**授权是用户认证通过后根据用户的权限来控制用户访问资源的过程**,拥有资源的访问权限则正常访问,没有权限则拒绝访问。
例如视频网站的VIP用户,可以查看到普通用户看不到的资源信息。
2、权限数据模型
授权过程中,我们需要知道如何对用户访问的资源进行控制,需要了解一些简单的授权数据模型。
授权可以非常简单的理解成谁(Who)对什么资源(What)进行怎么样(How)的操作。