权限管理的介绍和原理
Posted rain-g
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了权限管理的介绍和原理相关的知识,希望对你有一定的参考价值。
1. 什么是权限管理
权限管理:就是实现了对用户访问资源或者系统功能的限制,按照管理员定义的安全规则或权限策略,限制用户只能访问自己被授权的资源。
权限管理:包括用户认证和授权(也就是登录和鉴权),也就是说,权限管理需要先对用户进行登录,然后对用户访问的功能进行权限验证。
2. 用户认证(登录):
+ 也就是身份认证(登录),检验一个用户是否合法的业务处理过程,一般都是系统对用户输入的用户名和密码判断是否匹配数据库中的记录。(除了登录,用户认证还可以为指纹认证、刷脸等需要硬件设备参与的认证方式)
+ 登录认证流程:
流程中出现的主要对象
++ Subject : 主体(也就是用户),也可以是rest服务或api接口;也就是要访问资源的对象。
++ Principal : 身份信息(一般是唯一的),也就是通俗上的拥有账号。
++ Credential : 凭证Token,可以是密码,证书,指纹。
## 总结就是,用户(Subject)在登录认证时需要提供身份信息(Principal)和凭证信息(Credential)。
## 具体流程图
3. 用户授权
+ 授权就是权限验证,对已经认证过的用户是否拥有那种权限;即判断用户可以做哪些事,细粒度的验证用户对资源是否具有某个权限
+ 授权流程:
++ Subject :主体(此时的主体已经认证过了)
++ Resource :主体要访问的资源或功能;例如某个用户是否可以对数据进行增删改查(CURD)
++ Permission : 凭证Token,可以是密码、证书、指纹。
### 总结就是:授权就是,管理员提供给认证用户是否具有某个资源的操作或查看的功能。
### 具体流程图
以上是关于权限管理的介绍和原理的主要内容,如果未能解决你的问题,请参考以下文章