最近在梳理springboot前后端分离后的权限管理问题。前段时间，已经把shiro的实现和spring security 的实现进行了初步的了解。如果深入细节，一个篇幅怕是不够。本文仅对权限管理的一些通用原理进行探讨。

在前后端分离之后，对于权限方面，主要存在两方面的权限：（1）前端页面访问权限，（2）后台接口访问权限。下面分别以页面权限和接口权限两个方面展开讨论。

这里的接口权限管理，主要指springboot中的后台接口的授权访问权限。那么，如何实现呢？
某一个用户登录的时候，会携带该用户名（用户id）以及密码（或是验证码）在后台完成密码比对，或是验证码比对，确认身份成功后（即认证成功后）会返回一个token信息，作为该用户的一个凭证返回前台，前台保存该用户的token信息，以后访问接口，携带该token进行访问。
在后台，该用户登录完成认证后，系统会查询数据库，获取该用户的角色列表，以及该角色列表对应的可访问接口的权限列表。后台把该用户的角色列表，以及对应权限列表注入spring容器里面。具体管理角色权限方式，可以用shiro，当然，也可以用spring security。在此基础之上， 某一个用户登录，系统中就会保存该用户的角色列表，以及对应的权限列表。
但是，后台的接口权限验证方式，通常并不是对所有的接口都进行权限验证，比如，登录就是对所有的用户都可以访问的接口。如果用 集合A 来表示所有的接口集， 集合B 来表示需要权限才能够访问的接口集。显然，集合B 是集合A的 真子集。即在数据库中，需要保存一份集合B，即 权限表。 这里可以做这样一个假定，假定 接口 和 权限 存在 1:1的关系，事实上，他们也是一对一的关系，因为这里从定义就可以看出，这里研究的就是接口的权限，一个接口就有一个接口的权限。 那么，在权限表（接口权限表）中，我们就可以把涉及到需要权限才能够访问的接口存在 权限表 中。
而仅有权限表也是不够的，我们还需要 角色权限表 ，即某一个用户角色可以访问权限表中的一个 子集C 。另一个用户角色可以访问权限表中的另一个 子集D 。
回到刚才的话题， 某一个用户登录，系统中就会保存该用户的角色列表，以及对应的权限列表。
那么，某一个用户登录认证成功后，再次访问其他接口的时候，如何判断该接口是需要授权才能够访问呢，还是不需要授权就可以访问。 在这里，有几种方案可供选择，这也是本文探讨的重点。主要有以下两种实现方式：
（1） 在某一个接口上标明一个注解，表示该接口需要什么角色才能够访问，或者，该接口需要什么权限才能访问。那么，对于登录的用户，shiro或者spring security 会帮我们判断，该用户是否拥有该角色或是否拥有该权限，从而是通过该访问请求，还是拒绝该访问请求，当然，这个工作，也可以自己写一个切面去实现。
但是，这种方式存在一个缺点，就是接口的权限，无法一目了然的统一管理。即我们需要去翻阅代码，才知道哪个接口上标注了权限注解，哪个接口上没有标注权限注解。数据库中的权限表（接口权限表）中的权限，并不一定要全部标注在接口上。可能会有预留的情况。
（2） 另一种方式是，接口上不添加注解。系统中保存一份需要权限访问的接口列表（从数据库查询）。即权限表中保存的是需要权限才能访问的所有接口列表。
从上得知， 某一个用户登录，系统中就会保存该用户的角色列表，以及对应的权限列表。 即保存了该用户对应的可以访问的接口权限列表。
那么，当该登录用户访问其他接口的时候，用aop拦截，判断该接口是否在需要权限才能访问的接口里面。如果不在，则通行；如果在，再判断该用户有没有该接口的权限。如果没有，则抛出没有权限的异常返回。如果有，则通行。
（3） 当然，在这里还有另一种判断选择。同样接口上不添加注解。但在shiro或是spring security中注入的不是该用户拥有的接口权限，而是该用户被拒绝的接口权限。即在该用户登录的时候，在后台查询数据库，根据该用户拥有的权限接口，以及所有需要权限才能访问的接口，获取需要权限但该用户没有权限的接口，即该用户不能访问的权限接口。
在该用户访问其他接口的时候，在aop里面，判断该访问的接口是不是在拒绝权限的接口里面，如果是，则拒绝访问，否则，则通行。
以上三种方式，各有优缺点，在此不再展开。后续探讨后，再开篇幅进一步探讨权限相关的内容。

java后台开发，权限的重要性不言而喻。但参阅相关的博客发现，大多数的文章仅说明，shiro或是spring security的具体实现。而对其抽象的基本原理没有进行较好的描述，本文就是为了从抽象的角度，来描述springboot前后端分离后权限的实现原理，以及不同的算法选择。