這兩天在做移動端之餘也接觸一點兒許可權的知識。。基礎，考試，新生都有一定的瞭解，唯一對許可權是最陌生的。在AngularJs的摧殘下，不得不找點兒別的事兒來做做。原本想看一點兒關於shiro的東西，經人推薦了一套視訊，裡面講解shiro之前先講解了以下許可權的原理部分，感覺特別好。就燕青老師講的總結一下，讓自己印象深刻一下下。個人感覺傳智燕青老師講的這個shiro視訊挺好的，推薦大家看看。有想看的可以找我要哦~

什麼是許可權管理？

許可權管理實現對使用者訪問系統的控制，按照安全規則或者安全策略控制使用者可以訪問而且只能訪問自己被授權的資源。

許可權管理包括使用者身份認證和授權兩部分，簡稱認證授權。對於需要訪問控制的資源使用者首先經過身份認證，認證通過後使用者具有該資源的訪問許可權方可訪問。

使用者身份認證

身份認證，就是判斷一個使用者是否為合法使用者的處理過程。最常用的簡單身份認證方式是系統通過核對使用者輸入的使用者名稱和口令，看其是否與系統中儲存的該使用者的使用者名稱和口令一致，來判斷使用者身份是否正確。對於採用指紋等系統，則出示指紋；對於硬體Key等刷卡系統，則需要刷卡。

授權

授權，即訪問控制，控制誰能訪問哪些資源。主體進行身份認證後需要分配許可權方可訪問系統的資源，對於某些資源沒有許可權是無法訪問的。

許可權表結構設計

使用者身份認證基本用一個使用者表就可以進行驗證，主要看一下授權表結構設計。

授權可簡單理解為who對what(which)進行How操作：Who即主體（

What即資源（Resource），How即許可權/許可（Permission）。

主體、資源、許可權關係如下圖：

對上面的主體、資源、許可權通過資料模型表示。

主體（賬號、密碼）

資源（資源名稱、訪問地址）

許可權（許可權名稱、資源id）

角色（角色名稱）

角色和許可權關係（角色id、許可權id）

主體和角色關係（主體id、角色id）

如下圖：

通常企業開發中將資源和許可權表合併為一張許可權表，如下：

資源（資源名稱、訪問地址）

許可權（許可權名稱、資源id）

合併為：

許可權（許可權名稱、資源名稱、資源訪問地址）

如圖：

即映射出了以下幾張表：

這幾張表是許可權的通用表，每個公司可能針對自己的業務會有不同。

許可權管理解決方案

管理許可權有粗粒度和細粒度之分，粒度不同對待方式不同。

粗粒度

對資源型別的管理稱為粗顆粒度許可權管理，即只控制到選單、按鈕、方法，粗粒度的例子比如：使用者具有使用者管理的許可權，具有匯出訂單明細的許可權。

細粒度

對資源例項的控制稱為細顆粒度許可權管理，即控制到資料級別的許可權，比如：使用者只允許修改本部門的員工資訊，使用者只允許匯出自己建立的訂單明細。

如何實現粗粒度和細粒度

對於細顆粒度的許可權管理不建議做成系統架構級別的功能，因為對資料級別的控制是系統的業務需求，隨著業務需求的變更業務功能變化的可能性很大，建議對資料級別的許可權控制在業務層個性化開發，比如：使用者只允許修改自己建立的商品資訊可以在service介面新增校驗實現，service介面需要傳入當前操作人的標識，與商品資訊建立人標識對比，不一致則不允許修改商品資訊。

對於粗顆粒度的許可權管理可以很容易做系統架構級別的功能，即系統功能操作使用統一的粗顆粒度的許可權管理。

實現方式兩種：

（1）基於url攔截

基於url攔截是企業中常用的許可權管理方法，實現思路是：將系統操作的每個url配置在許可權表中，將許可權對應到角色，將角色分配給使用者，使用者訪問系統功能通過Filter進行過慮，過慮器獲取到使用者訪問的url，只要訪問的url是使用者分配角色中的url則放行繼續訪問。

（2）使用許可權框架

對於許可權管理基本上每個系統都有，使用許可權管理框架完成許可權管理功能的開發可以節省系統開發時間，並且許可權管理框架提供了完善的認證和授權功能有利於系統擴充套件維護，但是學習許可權管理框架是需要成本的，所以選擇一款簡單高效的許可權管理框架顯得非常重要。我們系統中選擇的框架就是shiro。

基於url攔截的平時我們遇到的很多，如果用的是框架像SpringMvc，Struts2，我們可以使用他們的攔截器進行攔截，如果不使用框架我們用filter進行過濾。

基於shiro框架完成許可權管理，我們下篇詳細介紹。