综合实例:基于shiro的按钮级别的权限管理系统
一、shiro框架认证外部结构
说明:应用代码通过Subject对象来进行认证,而Subject又委托给SecurityManager,同时需要给SecurityManager注入Realm(比对的源数据,如用户注册时存储在数据库中账户,密码),从而让SecurityManager能得到合法的用户数据进行判断,并且Realm需要用户实现。简言之,用户登录将输入的用户名/密码传给Subject,同时Reaml需要得到用户注册时的用户名/密码,最后Subject和Realml的数据通过SecurityManager进行比较。
二、shiro框架认证内部结构
说明:
(1)系统通过用户输入的账户和密码生成token
(2)调用Subject.login(token)进行登录验证,其会自动委托给SecurityManager,调用之前必须通过SecurityUtils. setSecurityManager()设置
(3)SecurityManager负责真正的身份验证逻辑,它会委托给专门负责身份验证的Authenticator
(4)Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现
(5)Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证
(6)Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问
948
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
