Spring-Security权限管理

基于角色的权限管理

什么是角色？

代表一系列的行为和责任的实体
限定能做什么、不能做什么
用户账号往往是和角色相关联

RBAC ?
基于角色的权限管理(Role-Based Access Control)

两种控制方式：

显式访问控制
// 判断用户是否是Admin角色
隐式访问控制
// 判断用户是否有报表权限

Java平台下的权限控制框架：
Apache Shiro
Spring Security

Spring Security 简介

核心概念领域：

认证(authentication): “认证” 是建立主体的过程。 主体不仅仅是指人，还可以指应用程序中设备或者其他系统。

解释： 服务A 调用 服务B 的接口。

授权(访问控制)：决定是否允许主体在应用程序中进行从操作

功能：

身份认证技术：
HTTP BASIC
HTTP Digest
HTTP X.509
LDAP
基于表单的认证
OpenID
单点登录
Rmmber-ME
匿名身份验证
Run - as
JAAS(java 认证与授权服务)
JAVAEE 容器认证

主要模块：

Code - spring-security-core.jar
Remoting -spring-security-remoting.jar
Web -spring-security-web.jar
config -spring-security-config.jar
LDAP -spring-security-ldap.jar
ACL - spring-security-acl.jar
CAS -spring-security-cas.jar
OpenID -spring-security-openid.jar
Test -spring-security-test.jar