0
点赞
收藏
分享

微信扫一扫

springcloud 中 zuul 权限认证

一般情况下 权限管理的模块会设计  用户表 、角色表 、资源(权限/url)表

传统的单体应用里我们会用shiro 来进行权限管理,但是在微服务中将权限认证放到每一个服务自己去实现,这种方法不推荐。

在一般的项目里面权限的粒度不是很大,这里给出一个实现方案,可以简化也可以达到每一个url的细粒度。流程图如下。

简化的方案

适中的方案

细粒度方案

前端可以通过修改返回的角色信息,展示出所有资源组件。这样就可以绕过破解签名来调用后端接口。
这种问题存在于同一组织内 不同用户有不同的权限,如果在前端进行此操作用户在组织内的权限就可以被放大。
所以此种情形还需要后端判断用户是否有访问资源的权限

spring framwork 的util 提供了判断是否匹配restful url 的方法

我们可以通过此方法 和 请求类型(get/post/put/delet)来区分是否匹配目前的用户请求。

认证服务实现此方法,从数据库(redis缓存)中查询出用户 所拥有的资源(权限 / url )然后看是否与目前访问的url匹配。

然后返回认证结果 true or false 。

优化细粒度方案

读者可以根据项目对安全的要求来选择如何实现。
不合理的地方,欢迎读者指正。


举报

相关推荐

0 条评论