1.什么是权限管理系统？

权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分，可以说是后台项目的基本功，主要目的是对整个后台管理系统进行权限的控制，而针对的对象是员工，避免因权限控制缺失或操作不当引发的风险问题，如操作错误，数据泄露等问题。 权限管理主要是管控下面三个方面：

• 哪些页面要设置权限
• 哪些操作要设置权限
• 哪些数据要设置权限

下面的例子就是控制页面的访问权限：

权限管理核心就是两方面：认证和授权。下面我们参考一下认证的演进过程，去深入了解一下：

2.认证的演进过程？

单体阶段：

粘滞会话会把登陆状态绑定到某个服务器上

解决方案： 1.session复制：会话数据在服务器之间进行同步复制； 2.无状态会话：session数据存在客户端浏览器上；安全问题，需要加密；存储4K 3.session共享：集中存储在某个地方(redis);

微服务阶段：

采用透明令牌(引用令牌)：token使用无意义的字符串，本质还是集中状态会话：

轻量级(安全性要求没那么高)JWT

HMAC流程

RSA流程

3.什么是RBAC模型？

RBAC(Role-Based Access Control )基于角色的访问控制。

RBAC认为权限的过程可以抽象概括为：判断【Who是否可以对What进行How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。即将权限问题转换为Who、What、How的问题。who、what、how构成了访问权限三元组。

4.基于RBAC模型的权限验证框架

Apache Shiro Spring Security