1、基于资源的权限管理方式

2、掌握权限数据模型

3、掌握基于url的权限管理（不使用shiro）

4、shiro实现用户认证

5、shiro实现用户授权

6、shiro与实际的企业web项目整合开发的方法

1 权限管理基础知识

1 .1 什么是权限管理？

基本上涉及到用户参与的系统艘要进行权限管理，权限管理属于系统安全范畴，权限管理实现对用户访问系统的控制，按照安全规则或安全策略控制用户可以访问而且只能访问自己被授予的资源。

权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

1.2 用户认证

验证用户身份的合法性，如用户名密码认证

1.3 用户授权

1.3.1关键对象：

1.3.2权限模型

1.3.3分配权限

1.3.4权限控制

1）基于角色访问控制RBAC（role based access control）

问题：不利于系统维护（可扩展性不强）

2）基于资源的访问控制RBAC（resource based access control）

推荐

2权限管理解决方案

2.1什么时粗粒度和细粒度权限

粗粒度是对资源类型的管理

细粒度是对资源实例的管理

如何实现组粒度权限管理？

粗粒度权限管理比较容易将权限管理的代码提取出来在系统架构级别统一处理，比如通过springmvc的拦截器实现授权。

如何实现细粒度权限管理？

因此，对于细粒度权限管理需求，推荐在业务层去实现。