基于SpringSecurity的JSaaS应用的权限管理.pdf

广州红迅软件有限公司 基于Spring Security 的JSaaS 应用的权限管理 修改历史 日期 版本 修改人 备注 20145-08-13 1.0 Keitch 文档建立 目录 1概述 2 2Spring Security 权限管理的原理 2 3JSaaS 平台的权限设计要点 4 3.1登录--身份认证 4 3.2资源访问控制 5 3.2.1系统资源存储 5 3.2.2. 基于 Spring Security 上的扩展点：8 3.2.3. 如何判断用户的访问资源的权限9 4.数据库表的设计要素13 4.1关于 SaaS 的租户表设计 13 4.2. 组织架构设计13 4.3. 系统权限涉及的表设计14 5.关于 SaaS 的授权的扩展要素16 6.联系我们17 广州红迅软件有限公司JSaaS 的基于Spring Security 的安全权限管理- 【1】 广州红迅软件有限公司 1. 概述 权限管理，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资 源。资源包括访问的页面，访问的数据等，这在传统的应用系统中比较常见。本文介绍的则是基于 Saa 系统架构的处理模型，SaaS 应用的数据安全是目前大型企业比较担心的问题，因此，JSaaS 的安全应用 就显得非常重要。JSaaS 平台不单是一款私有云的应用管理平台，更是一款可扩展开发的，适合于二次 开发的租用的应用开发平台，如适合集团下有多个子公司多个子应用的开发。同时用于一个单位上使用， 相当于只有一个租户 SaaS 应用。本文从应用使用场景进行分析设计，并且基于 Spring Security 的开 源安全框架上进行设计，以保证满足未来 SaaS 应用的数据安全要求。 2. Spring Security 权限管理的原理 Spring Security 是一成熟的安全管理框架，大量应用于不同的系统中，其权限管理原理很简单， 就是通过一组 filter 进行访问地址的拦截，通过判断用户的身份及其允许访问的权限，然后授权是否允许 访问其下的资源。资源包括页面、逻辑代码中方法等。如下图所示: 这些不同 Filter 作用，请参考以下访问地址： 广州红迅软件有限公司JSaaS 的基于Spring Security 的安全权限管理- 【2】 广州红迅软件有限公司 /yf_198407/blog/static/5138541120114272476265/ 任何一个平台的数据访问都是需要授权的，授权只需要管理好两点，一是登录，另一个是授权访 问需要的内容。Spring Security 实现这两点非常容易，它已经提供了对应的接口及拦截点。 目前市面上大部分的平台都是基于角色控制访问的，因此，我们JSaa 平台也是采用该办法，通 过对角色或用户组进行授权，然后再把角色或用户组授权给用户即可，其原理图如下所示： 【说明】用户组包括的概念可以很广，如角色、部门、岗位、临时用户组等。我们在系统中只需要授权 给用户组可访问哪一些资源，然后再把对应的用户组授权给对应的用户即可。为了后续以后平台对接其 他用户的组织架构管理，我们对用户再进行一层隔离，即通过登录账号来实现登录的身份认证，而登录 账号只需要通过关联用户即可。 【用户、用户组、资源之间的关系】 广州红迅软件有限公司JSaaS 的基于Spring Security 的安全权限管理- 【3】 广州红迅软件有限公司 3. JSaaS 平台的权限设计要点 3.1. 登录--身份认证 平台上有登录权限的实体我们称之为用户账号，也称之为身份认证，Security 只需要实现 UserDetail 接口即可，登录的时候调用一下 Security 的安全认证接口即可。如下所示： !-- 认证管理器，实现用户认证 入口，主要实现 UserDetailsService 接口