现在系统改造成了单点登录,客户用户和后台运营人员统一在认证授权中心登录获取 token,目前认证授权中心用的 spring security + oauth2 做的。 目前能想到的方案有两种
 |
1
TimePPT PRO 登录模块和角色鉴权分开。
登录只用看已注册用户表里存不存在该用户。 对分权限的模块或者页面通过角色身份判断是否有权访问。 这样的好处是角色可以多级别,一个用户的身份可以由超管进行变更。 |
|
2
TimePPT PRO 或者就是客户和后台分开搭两套,彻底在系统层面隔离。这样的好处是两边的登录注册规范互相不影响。运营人员后台可以单独管理,也免得有系统漏洞。
像一些厂还会要求运营后台仅在内网访问等等,也可以。 看具体业务需要吧。 |
 |
3
yemoluo Jan 14, 2019
我比较偷懒,只区分登录和授权,这样做的好处就是后台账号可以模拟前台账号,省的一些产品经理需要模拟虚拟用户的诡异需求
大厂,除登录和授权也分开,且前台用户和后台用户不同表,甚至不同库,具体,那就看严格到啥地步了 其它方案无非就是如何继续拆分 |
Select Language