1.授权流程如下:
1、首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
2、Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过
PermissionResolver 把字符串转换成相应的 Permission 实例;
3、在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示授权失败。
2.自定义realm
首先我们之前学习认证时,自定义realm继承的是AuthenticatingRealm类,在该类下我们实现了doGetAuthenticationInfo()抽象方法,来完成认证。
那我们要进行授权就需要继承AuthorizingRealm类,该类是AuthenticatingRealm其子类,在该类下我们实现两个抽象方法,来完成认证和授权。
认证:doGetAuthenti