Spring Security 3 ,有些人说有用4张表,分别为:
用户(user)、角色(role)、权限(authority)、资源(resource)
然后加三个中间表:用户-角色、角色-权限、权限-资源。
通过用户取得角色,通过角色取得权限,通过权限取得资源。
资源一般就是URL与Action方法
我就纳闷了,为什么不能用3张表:用户、角色、资源。以及两张中间表,用户-角色、角色-资源。
通过用户取得角色,通过角色取得资源。
其实能不能访问多少资源,才是所谓的“权限”。那么何必加个权限表呢。
3张表肯定可以实现,有人做过,参考:http://aokunsang.iteye.com/blog/1638558
4张表也有人做过,参考:http://www.blogjava.net/SpartaYew/archive/2013/02/06/350630.html
有什么区别呢?是这样的:
3张表的:
权限就是角色所拥有的资源集合。
流程:user > set<role >- role > set<resource>
4张表的:
首先一个资源要指定哪些权限可以访问,
然后通过角色所拥有的权限是否出现在某资源中来决定拥有这个角色的用户能不能访问这个资源。
resource>set<auth>
user > set<role >- role > set<auth>
然后上下两个set<auth>对比,看看下方的某个auth是否出现在上方的某resource>的set<auth>中,出现则可以访问。
===========================================
不清除4张表比3张表有什么优点?
谁能回答。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
