术语简介
1、授权
授权,也叫访问控制,即在应用中控制谁能访问哪些资源。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)
2、主体
主体,即访问应用的用户,在shiro中使用shiro中使用subject代表该用户,用户只有授权后才允许访问相应的资源。
3,资源
在应用中用户可以访问的任何东西,比如访问jsp页面、查看/编辑某些数据、访问某个业务方法,打印文件等都是资源,用户只有授权后才能访问。
4、资源
安全策略中的原子授权单位,通过权限我们可以表示在应用有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源。
5,角色
角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便、典型的比如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色组拥有不同的权限。