基本概念

1、认证

用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。
系统为什么要认证?
认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。
怎么进行认证?

2、授权

授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。
为什么要授权?
认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,
控制不同的用户能够访问不同的资源。

RBAC模型

  1. 主体 -》 角色 -》 资源 -》行为<br />**如何设计一个权限系统?**<br />![UserManage.png](https://cdn.nlark.com/yuque/0/2022/png/22260675/1641895308097-53ab6be5-31be-4db6-be98-61ec6b74cc11.png#clientId=ud477967f-1f82-4&from=ui&id=ue44b070e&margin=%5Bobject%20Object%5D&name=UserManage.png&originHeight=360&originWidth=1302&originalType=binary&ratio=1&size=26932&status=done&style=none&taskId=uc8374c9b-7099-42e2-b261-e5c7a9dd758)

3、会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。