基于角色的访问控制（Role-Base Access Control）

有两种正在实践中使用的RBAC访问控制方式：隐式(模糊)的方式和显示(明确)的方式。

今天依旧有大量的软件应用是使用隐式的访问控制方式。显示的访问控制方式更适合于当前的软件应用。

隐式的访问控制

隐式的访问控制就是并没有给角色添加具体权限操作，只是给访问的用户添加了一个标识，告诉系统我是隶属于这个角色的，只要系统允许这角色操作的资源，我就有权限去操作。

比如说，我现在某个系统有两个角色，分别是“超级管理员”，"项目管理员"，“普通用户”；

用户有： root 、zhangSan；

分别给上面三个用户赋予角色：root  赋予 “超级管理员” 角色 / zhangSan 赋予 “普通用户” 角色

那么我现在有一个修改用户密码的功能，这个功能只能是“超级管理员”角色的用户才能操作，那么隐式访问控制的具体代码将会是如下：

if( currentUser.hasRole("超级管理员")){
    //有权限进行操作
}else{
   //没有权限进行操作
}

上面这段代码说的是，如果当前访问用户对象隶属于“超级管理员”这个角色，那么有权限进行修改用户密码操作，否则没有权限进行操作。

这种权限操作是没有明确告诉系统这个角色可以干什么，而是程序员知道这个角色能干吗，靠if else在程序中进行判断这些角色能干吗。

如果此时增加一个“普通用户”也可以修改用户密码的权限，那么此时代码就应该改成如下：

if( currentUser.hasRole("超级管理员") || currentUser.hasRole("普通用户")){
    //有权限进行操作
}else{
   //没有权限进行操作
}

这样的权限管理不太好，仅仅是因为一个微小的权限方面的需求变动，就需要改动代码，重新编译、部署...

如果又让项目管理员也有这样的权限的话，又得修改了。。。

所以，推荐下面的显式的访问控制。

显式的访问控制

显式的访问控制是明确的告诉系统这些角色具体能干吗，让隶属于这个角色的用户都拥有相应的权限。

如：“超级管理员”{“创建用户”，“修改用户密码”，“删除用户”}的权限

那么修改用户密码的代码就该如下所示：

//获取当前用户的角色，再通过角色来判断是否有“修改用户密码的权限”
if( currentUser.getRole().isPermission("修改用户密码")){
   //有权限进行操作
}else{
    //无权限进行操作  
}

假设我要去除掉超级管理员的“修改用户密码”的权限，那么我只需要修改权限的配置文件，而不需要修改代码部分。

所以，推荐使用显式访问控制。

问题：权限系统对技术选型有什么考虑，或者说为什么选择shiro框架，有没有考虑过其他方案?

权限系统首先是要考虑权限分配，权限分配是要看你自己设置什么样的用户，能拥有什么权限。比如基于角色的授权管理有三个要素：权限、角色、用户。管理员能浏览所有的页面，能进行增删查改，普通用户只能浏览公开的页面，只能查看、和修改等。

通常的做法就是将权限分配给某个角色，然后将这个角色关联一个或多个用户。shiro是开源的java安全框架，它在授权方面可以验证某个已认证的用户是否拥有某个角色，或者细粒度的验证某个用户对某个资源是否具有某个权限。shiro简单，易用，功能强大，spring官网就是用的shiro，shiro不仅支持web项目，还支持非web项目，和spring可以整合。shiro是一个很强大而灵活的开源安全框架，能够非常清晰的处理认证、授权、管理会话以及密码加密。我们也可以用spring security安全框架，但是它的学习成本比较高，比shiro复杂。