如何设计一个权限系统？

理解业务模型

参考：https://mp.weixin.qq.com/s/TLA1j1ApLdSsFRRoi2boQg


不同的业务系统，对应的权限系统的设计是完全不同的


所以，一切的起点，在于先明确有被控制的用户主体是谁，有哪些；哪些权限需要控制；怎么控制等等一系列的细节。


如果设计到最后发现方向错了，那再精妙的系统都是白搭。

技术选型

一般在Java的世界里，基于RBAC的认证授权框架有两个，一个是Spring Security，一个是Shiro。
如果使用框架的话，无外乎这两个。如果系统需要允许第三方登陆，则还需要OAuth的支持。


一般来说，选择哪款框架，真正重要的因素是对框架的掌握程度。


当然，如果是基于Spring开发的，尽量还是使用Spring Security，配置起来非常方便。
其提供了很多开箱即用的功能

---

还有另外一种可能，就是两个框架都不能很好的满足系统的业务要求，这个时候手动撸一个认证授权系统也是可以的。

能够被控制的权限有哪些？

这里我们考虑得复杂一点，尽可能把所有能够想到的权限类型都考虑到。

• 前端

从前端角度来看，所谓的权限控制，包括了


1、页面元素是否展示
包括菜单、按钮等


2、数据的读写属性
对于部分文本框中的内容，有些角色可以读写，有些角色只有只读权限

• 后端

1、能否访问此接口


2、数据项的读写权限
这个是比较复杂的，主要有两方面
1、对数据是读还是写
2、能够操作的数据范围是多少


3、不同角色对于同一个业务是否有不同的处理逻辑


等等

软件架构

• 单体应用

如果是自己手撸的话，一般采用Filter的方式，或者AOP


如果是使用框架的话，其实他们的内部原理也是基于Filter

• 分布式应用

一般来说，都是从请求–>网关–>认证


根据认证结果，网关决定继续路由转发还是直接打回本次请求