权限、认证与授权

已于 2023-09-12 15:30:27 修改
阅读量404 收藏 3
点赞数 1
文章标签: 服务器 运维
于 2023-09-10 23:55:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62587914/article/details/132797694
版权

文章目录

权限、认证与授权

1、权限概述

(1)什么是权限

权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统

权限管理在系统中一般分为:

  • 访问权限

    一般表示你能做什么样的操作,或者能够访问那些资源。例如:给张三赋予“店铺主管”角色,“店铺主管”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入统,则可以进行这些操作

  • 数据权限

    一般表示某些数据你是否属于你,或者属于你可以操作范围。例如:张三是"店铺主管"角色,他可以看他手下客服人员所有的服务的买家订单信息,他的手下只能看自己负责的订单信息

2、认证概念

(1)什么是认证

身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和密码,看其是否与系统中存储的该用户的用户名和密码一致,来判断用户身份是否正确。例如:密码登录,手机短信验证、三方授权等

(2)认证流程

image-20230910234645693

(3)关键对象

上边的流程图中需要理解以下关键对象:

  • Subject:主体:访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

  • Principal:身份信息是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

  • credential:凭证信息:是只有主体自己知道的安全信息,如密码、证书等。

3、授权概念

(1)什么是授权

授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后,系统会为其分配对应的权限,当访问资源时,会校验其是否有访问此资源的权限。

这里首先理解4个对象:

  • 用户对象user:当前操作的用户、程序。资源对象resource:当前被访问的对象
  • 角色对象role :一组 “权限操作许可权” 的集合。
  • 权限对象permission:权限操作许可权
(2)授权流程

image-20230910235038515

Kⅈꫛᧁ269
关注
极简权限认证必须掌握【代码+原理+建议收藏】
持续学习持续开发,我是雷学委!
07-18 1334
小白最近没有来问学委问题,不过前几天,有朋友问到如何进行访问控制,资源控制的,学委特地写了一篇。 这其实就是权限认证,理解并掌握其核心思想很重要,而且每个系统都避不开!下面一起看吧。 通常情况下,我们访问所有API都需要进行用户访问权限鉴定。比如判断当前访问的用户是什么人,什么角色。 下面基于商业办公楼安保系统来陈述。 今天去上班但是忘记带员工卡了 做为一个上班族,你去一个大型办公楼某一层楼办公/上班,想要进入不同楼层,商场物业会进行鉴定。 然后进入电梯打开按某一楼层。然后进入办公室之前还需要打开,这个滴
权限管理——用户认证和用户授权
热门推荐
许小乖……是总攻
07-16 2万+
因为做了权限的项目经理,so,恶补一下一个权限框架:shiro。其实作为框架首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但框架没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。             Apche Shiro就是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。说
【Shiro】Shiro从小白到大神(三)-权限认证(授权)
weixin_34311757的博客
09-22 581
本节讲权限认证,也就是授权 基于角色的访问控制和基于权限的访问控制的小实例 以及注解式授权和JSP标签授权详解 权限认证 权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源 在权限认证中,最核心的三个要素是:权限,角色和用户 (资源也算一个要素,但不是最核心的) 权限,即操作资源的 ...
权限认证
weixin_41924879的博客
10-20 1586
权限认证 Authentication:认证 Authorization:授权 Cookie的作用 Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。 维基百科是这样定义 Cookie 的:Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存放在客户端,一般用来保存用户信息。 下面是 ...
猿创征文|Java中的权限认证如何理解
浅羽技术
08-27 722
认证: 就是对系统访问者的身份进行确认。用户名密码登录、 二维码登录、手机短信登录、指纹、刷脸。。。授权:就是对系统访问者的行为进行控制。授权通常是在认证之后,对系统内的用户隐私数据进行保护。后台接口访问权限、前台控件的访问权限。RBAC模型: 主体 -》 角色 -》 资源 -》访问系统的行为。认证授权也是对一个权限认证框架进行扩展的两个主要的方面。CSRF: Cross Site Requst Forgery 跨站请求伪造。...
java权限管理+授权认证_权限管理(认证授权
weixin_36481965的博客
03-09 1434
什么是权限管理基本涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证授权两个部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。1.2. 用户身份认证1.2.1. 概念:身份认证就是判断一...
shiro权限认证授权
02-26
在本文中,我们将深入探讨Shiro的核心概念,包括权限认证授权,以及如何在实际项目中有效应用。 ### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们...
手把手教你AspNetCore WebApi认证授权的方法
12-16
这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。 什么是Token ...
非常珍贵的Spring Security企业级认证授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
springmvc+shiro+maven 实现登录认证权限授权管理
08-29
SpringMVC+Shiro+maven 实现登录认证权限授权管理 SpringMVC 是一个基于 Java 语言的 web 应用程序框架,Shiro 是一个 Apache 下的一开源项目,旨在简化身份验证和授权。下面我们将通过实例代码,分享 SpringMVC+...
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
在分布式系统中,认证授权涉及到多个节点间的协作,确保用户身份的安全验证和权限控制。OpenIddict通过提供令牌管理和验证服务,使得在ABP框架下实现这一目标变得简单。 4. **项目准备**: - **创建认证授权服务...
Author权限认证
m0_65545927的博客
03-07 849
Author权限认证,用户权限授权
【Shiro】Apache Shiro架构之权限认证(Authorization)
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
权限认证实现(责任链模式)
m0_54213686的博客
10-12 1346
笔者在刚开始工作时,接到的一个任务就是实现权限认证流程,我们采用SpringBoot框架外加责任链模式,大致实现思路如下.
Shiro学习之权限认证
m0_67401746的博客
08-24 1420
1”可以匹配如“user:view:1”、“user”可以匹配“user:view”或“user:view:1”等。即_可以匹配所有,不加_可以进行前缀匹配;用户是jack的时候,控制台出去的是:true,false,代表的是jack用户role1这个角色,但是没有role2这个角色。权限,即操作资源的权力,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利(CRUD).用户是yyt的时候,控制台输出的是:true,true,代表的是yyt拥有role1,role2这个角色。
微服务权限认证第一版
weixin_44367728的博客
06-28 1479
本章主要针对于有一定微服务基础的朋友,讲解下搭建微服务权限架构
用户--登录及权限认证
蟹老板的博客
12-24 725
使用 DRF 框架 再带的登陆认证进行登陆 # userapp.urls.py ## from django.urls import path # drf自带的登陆认证,会自动生成 jwt-token from rest_framework_jwt.views import obtain_jwt_token # 验证密码后返回token from userapp.views import * urlpatterns = [ path('login/', obtain_jwt_toke..
基于高通主板的ARM架构服务器
最新发布
D404234的博客
09-11 1444
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
信息安全体系架构:认证授权详解
信息安全体系结构中的"认证授权"模块是保障网络安全和数据安全的重要组成部分。它主要涉及对用户、应用程序以及系统资源访问的管理和控制。认证是指确认用户身份的过程,确保只有合法用户能访问系统资源;而授权则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kⅈꫛᧁ269

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值