一般情况下 权限管理的模块会设计 用户表 、角色表 、资源(权限/url)表
传统的单体应用里我们会用shiro 来进行权限管理,但是在微服务中将权限认证放到每一个服务自己去实现,这种方法不推荐。
在一般的项目里面权限的粒度不是很大,这里给出一个实现方案,可以简化也可以达到每一个url的细粒度。流程图如下。
简化的方案
适中的方案
细粒度方案
前端可以通过修改返回的角色信息,展示出所有资源组件。这样就可以绕过破解签名来调用后端接口。
这种问题存在于同一组织内 不同用户有不同的权限,如果在前端进行此操作用户在组织内的权限就可以被放大。
所以此种情形还需要后端判断用户是否有访问资源的权限
spring framwork 的util 提供了判断是否匹配restful url 的方法
我们可以通过此方法 和 请求类型(get/post/put/delet)来区分是否匹配目前的用户请求。
认证服务实现此方法,从数据库(redis缓存)中查询出用户 所拥有的资源(权限 / url )然后看是否与目前访问的url匹配。
然后返回认证结果 true or false 。
优化细粒度方案
读者可以根据项目对安全的要求来选择如何实现。
不合理的地方,欢迎读者指正。