这是一个创建于 2125 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在系统改造成了单点登录,客户用户和后台运营人员统一在认证授权中心登录获取 token,目前认证授权中心用的 spring security + oauth2 做的。 目前能想到的方案有两种
- 区分用户(user) 和 管理员表(admin) --但是登录就不好做了
- 抽象出用户管理员的基本信息 比如账号密码什么(account) 然后在各自的(userInfo,adminInfo) 去存放详细信息。 --这个感觉是比较合理,登录验证 account 的基本然后在关联出详细信息 各位还有更好的建议吗
 |
1
TimePPT 2019-01-14 16:48:56 +08:00
登录模块和角色鉴权分开。
登录只用看已注册用户表里存不存在该用户。 对分权限的模块或者页面通过角色身份判断是否有权访问。 这样的好处是角色可以多级别,一个用户的身份可以由超管进行变更。 |
|
2
TimePPT 2019-01-14 16:52:55 +08:00
或者就是客户和后台分开搭两套,彻底在系统层面隔离。这样的好处是两边的登录注册规范互相不影响。运营人员后台可以单独管理,也免得有系统漏洞。
像一些厂还会要求运营后台仅在内网访问等等,也可以。 看具体业务需要吧。 |
 |
3
GTim 2019-01-14 17:35:26 +08:00
我比较偷懒,只区分登录和授权,这样做的好处就是后台账号可以模拟前台账号,省的一些产品经理需要模拟虚拟用户的诡异需求
大厂,除登录和授权也分开,且前台用户和后台用户不同表,甚至不同库,具体,那就看严格到啥地步了 其它方案无非就是如何继续拆分 |
Select Language