权限管理框架shiro

1、权限管理理论

只要有用户参与的系统一般都要有权限管理，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户认证和授权两部分。

粗粒度权限管理，对资源类型的权限管理。资源类型比如：菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。

细粒度权限管理，对资源实例的权限管理。资源实例就资源类型的具体化，比如：大区经理只能查看本辖区的销售订单,部门经理只可以访问本部门的员工信息。

细粒度权限管理就是数据级别的权限管理。

RBAC

是基于角色的访问控制（Role-based access control ）在 RBAC 中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便。

RBAC 认为授权实际上是Who、What 、How 三元组之间的关系，也就是 Who 对 what 进行 How 的操作，也就是“主体”对“客体”的操作。

Who：是权限的拥有者或主体（如：User，Role）。

What：是操作或对象（operation，object）。

How：具体的权限（Privilege，正向授权与负向授权）。

RBAC 的四个模型

RBAC0：是RBAC的核心思想。

RBAC1：是把RBAC的角色分层模型。

RBAC2：增加了RBAC的约束模型。

RBAC3：其实是RBAC2 + RBAC1。

2 安全框架

为什么要使用框架

采用成熟，稳健的框架

1、重用代码大大增加，软件生产效率和质量也得到了提高；

2、代码结构的规范化，降低程序员之间沟通以及日后维护的成本；

3、知识的积累,可以让那些经验丰富的人员去设计框架和领域构件，而不必限于低层编程；

4、开发速度加快、适应性、灵活性增强

shiro更加的轻量级，学习成本也更低。如果您正在开发一个分布式的、微服务的、或者与Spring Cloud系列框架深度集成的项目，建议您使用Spring Security

3 shiro安全框架介绍