Spring Security权限框架简介

一、框架介绍

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 是基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证Authentication)和用户授权(Authorization两个部分。

(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

Spring Security 的本质其实就是过滤器Filter,对请求的路径进行过滤。

(1)如果是基于session 的请求,那么Spring Security会对 cookie 里的 sessionid 进行解析,找到服务器存储的 session 信息,然后判断当前用户是否符合请求的要求。

(2)如果是基于 token 的请求,Spring Security 则是解析出 token,然后将当前请求加入到Spring Security管理的权限信息中去。

二、认证与授权实现思路

如果系统的模块众多,每个模块都需要就行授权与认证,所以我们选择基于 token 的形式进行授权与认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限值,并以用户名为key,权限列表为value的形式存入redis缓存中,然后根据用户名的相关信息生成token返回,浏览器将token记录到cookie中,前端每次调用api接口时都默认将token设置到header请求头中(可以通过设置请求拦截器实现),Spring Security解析header请求头获取token信息,解析token获取当前用户名,根据用户名就可以从redis中获取权限列表,这样Spring Security就能够判断当前请求是否有权限访问。这个过程的示意图如下所示:

Spring Security权限框架简介_第1张图片

三、权限管理的数据库表的设计

如果想要较为完整地实现基于 Spring Security 的权限管理,那么我们至少要在数据库创建五张表来实现权限管理功能。以在线教育的后台管理系统为例,这五张表就可以这样设计:

① 后台管理权限的权限表 acl_permission

② 具有不同权限的角色表 acl_role

③ 属于不同类型角色的用户表 acl_user

④ 表示权限表和角色表关系的表 acl_role_permission

⑤ 表示角色表和用户表关系的表 acl_user_role

其中一个角色可以有多个权限,一个权限也可以属于多个角色,因此权限表和角色表之间的关系是多对多;一种角色下可以有多个用户,一个用户也可以是多种角色,因此角色表和用户表之间的关系也是多对多。这五张表之间的关系如下图所示:

Spring Security权限框架简介_第2张图片

你可能感兴趣的:(项目总结,spring,spring,security)