一、什么是认证

认证：判断用户身份是否合法的过程，用户访问系统资源时系统要求验证用户的身份信息，身份合法方可继续访问，不合法则拒绝访问。

认证目的：保护系统的隐私数据与资源，用户的身份合法方可访问该系统的资源。

常见认证方式：用户名密码登录，二维码登录，手机短信登录，指纹认证 等方式。

1、什么是会话

会话：系统为了保持当前用户的登录状态所提供的机制，避免用户的每次操作都进行认证。常见的有基于Session方式、基于Token方式等

基于Session的认证

流程：用户认证成功后，服务端生成用户数据保存在session(当前会话)中，将session_id存放到客户端cookie中。客户端请求时携带session_id，服务端验证session数据完成用户校验。当用户退出系统或session过期销毁时，session_id失效。

基于Token的认证

流程：用户认证成功后，服务端生成一个token(令牌)发给客户端，客户端可以放到 cookie 或 localStorage 等存储中，每次请求时带上 token，服务端收到token通过验证后即可确认用户身份。

Session与Token的区别

• 基于Session的认证方式由Servlet规范定制，服务端要存储session信息需要占用内存资源，客户端需要支持 cookie
• 基于token的方式则一般不需要服务端存储token，并且不限制客户端的存储方式。更适合前后端分离的架构进行实现，所以基于token的方式更适合

二、什么是授权

授权：根据用户权限控制用户访问资源的过程。用户认证通过后，根据其权限决定能访问哪些资源。

授权目的：

• 认证是为了保证用户身份的合法性
• 授权则是为了更细粒度的对隐私数据进行划分，授权是在认证通过后发生的， 控制不同的用户能够访问不同的资源

示例：微信用户登录后可使用发朋友圈、添加好友等功能，没有绑定银行卡的用户是无法发送红包的，绑定银行卡的用户才可以发红包，发红包功能、发朋友圈功能都是微信的资源即 功能资源，这个根据用户的权限来控制用户使用资源的过程就是授权。

1、授权的数据模型

授权可理解为：Who对What进行How操作，即哪些用户对哪些资源有哪些权限。

• Who（主体Subject）：用户或程序，需要访问系统中的资源
• What（资源Resource）：
  • 功能资源：系统菜单、页面、按钮、代码方法等，Web系统中通常对应URL
  • 实体资源：商品信息、订单信息等数据资源，由资源类型和资源实例组成
• How（权限Permission）：用户对资源的操作权限，如查询、添加、修改、删除等

数据模型结构：

• 用户（用户id、账号、密码）
• 资源（资源id、资源名称、访问地址）
• 权限（权限id、权限标识、权限名称、资源id）
• 角色（角色id、角色名称）
• 关系表：
  • 角色-权限关系（角色id、权限id）
  • 用户-角色关系（用户id、角色id）

角色概念：角色是权限的集合，不同角色拥有不同权限

• 管理员角色：拥有增删改查权限
• 普通用户角色：仅拥有查询权限

2、RBAC

业界通常基于RBAC实现授权

2.1、基于角色的访问控制

RBAC (Role-Based Access Control)：按角色进行授权。

示例：总经理角色可以查询企业运营报表和员工工资信息。

2.2、基于资源的访问控制 (重点)

RBAC (Resource-Based Access Control)：按资源（或权限）进行授权。

示例：用户必须具有查询工资权限才能查询员工工资信息。