|
锁定老帖子 主题:统一权限管理
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2012-08-22
代理请求转发
尝试一下吧 不过个性化菜单之类的很难搞 |
| 返回顶楼 | |
|
发表时间:2012-08-22
权限模型的设计不是难点,无非是(用户-角色-权限)之类的,主要难点是系统间的交互如何做,权限和功能的抽象如何设计。
需要注意的是: 1、交互太过频繁可能会有性能问题。 2、统一权限服务的高可用性。 3、如何做到权限控制对业务系统透明。 4、权限的配置不能过于复杂,否则维护工作量很大。 5、多个系统之间的用户信息如何统一管理。 |
| 返回顶楼 | |
|
发表时间:2012-08-22
这个不错 Apache shiro
|
| 返回顶楼 | |
|
发表时间:2012-08-22
木mu 写道 SpringSecurity 只是个权限拦截框架,本质上其实就是一堆的过滤器。
你的好几个系统想做一个统一的权限验证系统,由这个系统集中做权限管理,这个跟SpringSecurity 没有什么关系。主要取决于你的设计了,比如你的数据模型设计,以及各个子系统之间怎么去交互,这些是你考虑的... 各个子系统之间的交互是设计的难点,怎么样可以实现各个子系统间的通讯呢?看了一些资料,单点登陆只实现了身份认证的工作,而对各个子系统的用户授权将是一个很复杂的通讯,怎么样可以实现这种机制? 继续谈探索中..... |
| 返回顶楼 | |
|
发表时间:2012-08-22
bigtian 写道
权限模型的设计不是难点,无非是(用户-角色-权限)之类的,主要难点是系统间的交互如何做,权限和功能的抽象如何设计。
需要注意的是: 1、交互太过频繁可能会有性能问题。 2、统一权限服务的高可用性。 3、如何做到权限控制对业务系统透明。 4、权限的配置不能过于复杂,否则维护工作量很大。 5、多个系统之间的用户信息如何统一管理。
|
| 返回顶楼 | |
|
发表时间:2012-08-22
木mu 写道 SpringSecurity 只是个权限拦截框架,本质上其实就是一堆的过滤器。
你的好几个系统想做一个统一的权限验证系统,由这个系统集中做权限管理,这个跟SpringSecurity 没有什么关系。主要取决于你的设计了,比如你的数据模型设计,以及各个子系统之间怎么去交互,这些是你考虑的... 对! 这个是关键点。 |
| 返回顶楼 | |
|
发表时间:2012-08-22
根据自己项目的经验,有两点建议吧:
1、实时跨系统校验不是一个好的方案,最好在各业务子系统做授权信息的缓存,由统一权限中心往各业务系统推送权限信息,子系统通过统一权限中心服务提供的jar包来管理缓存以及进行访问认证。这样权限系统服务响应慢或者不可用,或者升级等不会影响下游子系统的稳定运行。 2、交互方式不重要,如果是全java系统,可以直接使用序列化缓存信息然后http post传输,然后反序列化的方式来做,不全是java系统可以采用webservice |
| 返回顶楼 | |
|
发表时间:2012-08-22
如果是企业级应用,spring security还是很不错的。想深入研究的话,可参考本人专栏。spring security解决了认证、授权问题,如果是跨项目的话,各项目的权限都不一样(如:客服记录管理中的记录增加权限,活动栏目管理中的活动查看权限,明显这些权限都是与业务相关并独立的)。如果非要整合到统一的权限模型中,那么就在各项目通过接口获取该项目当前账号的角色、权限信息了。
|
| 返回顶楼 | |
|
发表时间:2012-08-24
Dead_knight 写道 如果是企业级应用,spring security还是很不错的。想深入研究的话,可参考本人专栏。spring security解决了认证、授权问题,如果是跨项目的话,各项目的权限都不一样(如:客服记录管理中的记录增加权限,活动栏目管理中的活动查看权限,明显这些权限都是与业务相关并独立的)。如果非要整合到统一的权限模型中,那么就在各项目通过接口获取该项目当前账号的角色、权限信息了。
哥,楼主的问题不是用什么第三方框架去解决诸如认证、授权这种问题。这个自己写过滤器都可以。 楼主的最主要的问题是跨系统的认证、授权,这个是最要紧的。楼主可以考虑一下 LDAP... |
| 返回顶楼 | |
|
发表时间:2013-08-01
|
| 返回顶楼 | |
