目录
1. 授权入口
subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。
2. 源码追踪
由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url) 方法。
public boolean isPermitted(String permission) {
return this.hasPrincipals() && this.securityManager.isPermitted(this.getPrincipals(), permission);
}
判断该用户是否有身份标识信息(多半是用户名、电话等等,能够唯一标识用户),如果没有,那肯定授权失败,用户无法访问url。如果有,就继续判断,this.securityManager.isPermitted(this.getPrincipals(), permission);
这里的securityManager 是我们的shiro配置文件中配置了的,本文是配置的DefaultSecurityManager类来实现的, 查看了DefaultSecurityManager类里面,并没有isPermitted方法,原来DefaultSecurityManager类继承了AuthorizingSecurityManage