开发者学堂课程【Spring Security知识精讲与实战演示(一):权限管理介绍】学习笔记与课程紧密联系,让用户快速学习知识
课程地址:https://developer.aliyun.com/learning/course/730/detail/13027
权限管理介绍
内容介绍:
一、权限管理概念
二、重要名词
一、权限管理概念
案例是公司的一个后台管理系统。那么,何为后台管理系统?就是公司内部的工作人员可以通过后台管理系统,直接去修改为公司数据库中的数据。比如:点开基础数据,可以点到产品管理中。就可以通过这个界面对公司数据产品表进行改查操作。同样,也可以对订单进行改查操作。
那么想一个问题。订单是用户在公司的网站上花了钱之后产生的一个记录,如果随随便便一个人进来都可以对订单数据进行改查操作,那么公司的数据是不是就没有安全性可言了?如果要实现这部分功能,就必须让基础数据代码被保护起来、被管理起来,怎么做?就需要全线管理部分。
权限管理一般是根据系统设置的安全规则或者安全的策略,用户可以访问,而且只能访问被授权的资源。所以很多网站都是需要权限管理的,可见权限管理的一个重要性。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。
二、重要名词
在权限管理的概念中,有两个非常重要的名词:
认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份;
授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。
认证和授权分别是什么意思?认证,在很多情况下,可以说它是等同意登录的。但是与登录稍微不一样的是,登录之后其实。就是存储了当前登录的用户信息。可是认证之后,必须要让系统得到的角色性情,也就是角色表里面创建的一个关键字。认证通过之后,也就是系统已经知道角色、知道身份了,接下来根据角色身份可以进行相对应的权限授权,这就是第二个授权,这个概念就是系统根据当前用户的角色给其授予对应可以操作的权限资源。
