最近有需求对目前对外开放的API做一些权限管理,但在网上搜索了一下没有好的资料可以借鉴。具体来说就是对对外开放的接口进行权限管理,比如哪种角色可以访问这个接口,不满足条件就不能满足。但这种权限管理用哪种方式好,用什么分析的方法好呢?请各位知道的能提供些资料!谢谢!
OAuth 新浪微博 等都采取这个公共开源项目,这只是对外权限接口,内部还需要结合你自己的权限系统
其实API权限的管理是和项目相关,但又和业务逻辑关联不大。我采用ralasafe权限管理中间件把业务逻辑和权限管理相分离,即对于需要权限管理的API知道到Ralasafe去询问我是否符合条件,如果符合--OK 那么我继续调用对应的业务逻辑处理接口。如果不符合直接返回错误。这样设计的松耦合是有非常大好处的!