首页 > 其他分享 >基本概念

基本概念

时间:2023-06-16 09:22:29浏览次数:29  
标签:基本概念 用户 认证 session 权限 id 资源

什么是认证

进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。
系统为什么要认证?
认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。
认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。

什么是会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
基于session的认证方式的流程:
用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的session_id存放到cookie中,这样用户客户端请求时带上session_id就可以验证服务器端是否存在session数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id也就失效了。
基于session的认证方式如下图:
image
基于token方式的过程:
用户认证成功后,服务器生成一个token发给客户端,客户端可以放到cookie或localStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份。
image

对比:
基于session的认证方式由Servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式。如今移动互联网时代更多类型的客户端需要接入系统,系统多是采用前后端分离的框架进行实现,所以基于token 的方式更适合。

什么是授权

还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发送红包功能,拥有发朋友圈功能的权限才可以使用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。
认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,控制不同的用户能够访问不同的资源。
授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限,则拒绝访问。

授权的数据模型

如何进行授权即如何对用户访问资源进行控制,首先需要学习授权相关的数据模型。授权可简单理解为Who对What(which)进行How操作,包括如下:
Who,即主体(Subject),主体一般是指用户,也可以是程序,需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、代码方法、系统商品信息、系统订单信息等。系统菜单、页面、按钮、代码方法都属于系统功能资源,对于web系统每个功能资源通常对应一个URL;系统商品信息、系统订单信息都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号 为001的商品为资源实例。 How,权限/许可(Permission),规定了用户对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个代码方法的调用权限、编号为001的用户的修改权限等,通过权限可知用户对哪些资源都有哪些操作许可。
image
主体、资源、权限相关的数据模型如下:
主体(用户id、账号、密码、...)
资源(资源id、资源名称、访问地址、...)
权限(权限id、权限标识、权限名称、资源id、...)
角色(角色id、角色名称、...)
角色和权限关系(角色id、权限id、...)
主体(用户)和角色关系(用户id、角色id、...)
主体(用户)、资源、权限关系如下图:
image
通常企业开发中将资源和权限表合并为一张权限表:如下:
资源(资源id、资源名称、访问地址等)
权限(权限id、权限标识、权限名称、资源id等)
合并为:
权限(权限id、权限标识、权限名称、资源名称、资源访问地址等)
修改后数据模型之间的关系如下图:
image

RBAC(Role-based Access Contrtol)

按照角色进行授权:判断主体是否拥有某个角色,从而判断是否有权限当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。
基于资源的访问控制:用户必须拥有相关权限才能访问。优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强。

标签:基本概念,用户,认证,session,权限,id,资源
From: https://www.cnblogs.com/rhy2103/p/17484310.html

相关文章

  • 图解机器学习总结——1、基本概念
    序言:近期主要帮同事讲解《图解机器学习》,刚拿到这本书觉得内容相比较平常使用的机器学习算法,很多地方讲解得比较奇怪,在认真的读完后,觉得还是有很多重要的东西,因此读了书就想把知识点整理出来,加上一些自己对各种算法的认识,因此这个系列里面有一些个人的理解,若有不对的地方,还请不吝指......
  • 深度学习:基本概念深度解析
    我们前面经过了三个实际项目的历练,在项目实践中我们其实在不自觉中经历了深度学习的重要步骤,以及践行了深度学习过程中的一些重要概念,再此我们把这些概念提炼出来加以阐述和理解,这能为我们后面进行难度更大的项目打下扎实的基础,我们需要搞清楚三个概念,分别是数据预加工,特征工程,以及......
  • Vue路由的基本概念
    Vue路由的基本概念Vue路由是一个非常重要的概念,它允许你在应用程序中创建多个页面并在这些页面之间进行导航。在Vue中,路由是通过VueRouter实现的。本文将介绍VueRouter的基本概念和用法,并对路由配置进行详细解析。基础认知/路由路由是指应用程序中的一个页面。在Vue......
  • 云原生的基本概念及架构
    云原生技术是近年来迅速发展的一种技术体系,它可以帮助企业更快速、更高效地构建和管理应用程序。本文将介绍云原生的概念、架构和相关技术。一、云原生的概念云原生是一种新兴的应用程序开发和部署方式,它强调了应用程序的可移植性、可扩展性和自动化。云原生应用程序通常是基于容......
  • 时间序列预测的20个基本概念总结
    1、时间序列时间序列是一组按时间顺序排列的数据点比如:每小时的气压每年的医院急诊按分钟计算的股票价格2、时间序列的组成部分 完整文章:https://avoid.overfit.cn/post/7bc21f124d284b47becbeca6dc5c07c7......
  • 信道编码的基本概念
    本专栏包含信息论与编码的核心知识,按知识点组织,可作为教学或学习的参考。markdown版本已归档至【Github仓库:<https://github.com/timerring/information-theory>】或者公众号【AIShareLab】回复信息论获取。信道编码1.信道编码在通信系统中的位置和作用2.信道编码的基本分类:分......
  • 时空图预测的方法论,以及 diffusion model 基本概念
    前天和善良的同学聊天,请教了①时空图预测的方法论,②diffusionmodel基本概念,记录下来。①时空图预测的方法论:首先,构造0~t-1时刻的t个图,每个图都有n个点。建图可以按照地理位置/特征相似性来建。貌似一般不会考虑边的权重,只考虑两点是否连接。然后,对这t个图......
  • 基本概念
    基本概念State\[s_i\quad,\quadS=\{s_i\}\]表示状态和状态空间(集合)Action\[a_i\quad,\quadA=\{a_i\}\]表示动作和动作空间(集合)可用Tabularrepresentation表示Policy\[\pi\quad,\quad\pi(a_i|s_j)=c_{k}\]用概率形式表示动作可能的结果针对一......
  • 面向对象的基本概念
    面向过程:事物比较简单,可以用线性的思维去解决。具体到微观操作,仍然使用面向过程方式来处理。以分步骤的方式解决问题,顺序执行,逐步求精,用'方法'组织代码。面向对象:解决复杂问题,便于我们从宏观上把握事物之间复杂的关系、方便我们分析整个系统。以'分类'的方式解决问题,......
  • Java基本概念介绍
    Java基本概念介绍Java是一种面向对象的编程语言,由JamesGosling等人在1995年开发而成。Java是跨平台的,这意味着可以在不同的操作系统上运行相同的程序。Java具有许多优点,包括安全性、可移植性、高效性和可扩展性。Java的基本结构Java程序在类中编写。每个Java程序至少需要一个类,并......