认证授权
- 权限管理
- 认证
- 授权
- 解决方案
权限管理
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
认证
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。
授权
授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
解决方案
在Java企业级开发中,安全管理框架非常少,常见的就是:
- Shiro
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,,Shiro就显得力不从心了,在微服务面前和扩展方面,无法充分展示自己的优势。 - 开发者自定义
也有很多公司选择自定义权限,即自己开发权限管理。但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的网络政击以及防彻策略,从这个角度来说,开发者白己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。 - SpringSecurity
Sorimne Security,作为spring家族的一员,在和Spring 家族的其他成员如Spring Boot、Spring Clond等进行整合时,具有其他框架无可比拟的优势,同时对OAuth2有着良好的支持,再加上Spring Clood对 Spring Security的不断加持(如推出Spring CloudSecurity ),让 Spring Securiy不知不觉中成为微服务项目的首选安全管理方案。