SpringSecurity(二十一):权限管理 | 您所在的位置:网站首页 › 角色和权限设计的区别在哪里呢 › SpringSecurity(二十一):权限管理 |
Spring Security提供的功能主要包含两方面:认证和授权。Spring Security支持多种不同的认证方式,但是无论开发者采用哪种认证方式,都不会影响授权功能的使用,Spring Security很好的实现了认证和授权两大功能的解耦,这也是它受欢迎的原因之一 认证就是确认用户身份,也就是我们常说的登录, 授权则是根据系统提前设置好的规则,给用户分配可以访问某一资源的权限,用户根据自己所具有的权限,去执行相应的操作。 从技术上来说,Spring Security提供的权限管理功能主要有两种类型: 1.基于过滤器的权限管理 2.基于AOP的权限管理 基于过滤器的权限管理主要是用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验。基于AOP的权限管理则主要是用来处理方法级别的权限问题,当调用某一个方法是,通过AOP将操作拦截下来,然后判断用户是否具备相关的权限,如果具备,则允许方法调用,否则禁止方法调用。 核心概念 角色和权限根据之前的介绍,我们已经知道,在Spring Security用户登录成功后,会将当前用户登录信息保存在Authentication对象中,Authentication对象有一个getAuthorities方法用来返回当前对象具备的权限信息。 getAuthorities的返回值是Collection |
CopyRight 2018-2019 实验室设备网 版权所有 |