是否有用于身份验证/授权架构的最佳实践数据模型?
最佳答案
由角色到权限的映射组成的数据模型相当灵活,适合大多数用途。
然后您将角色分配给用户(这个概念与组的概念本质上相同)...一个用户可能有多个角色,他们的角色定义了他们拥有的权限。
在代码中,您检查(通过他们的角色)用户是否拥有执行功能所需的权限。
身份验证是独立的,它只是验证用户是谁,而不是他们可以做什么。通常你应该保持这种分离(尽管有些方案被设计成只关心用户能做什么,而不关心他们是谁)。
在您的设计中,您可以将访问控制系统可视化为矩阵(角色到权限)。
我还会扩展“不存储密码”的答案 - 根本不要设计自己的身份验证方案。你可能会弄错。重复使用经过验证的。
关于身份验证/授权模式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/381453/