shiro主要提供两大部分功能,认证和权限检测。
先来谈谈认证:
shiro认证主要由securityManager这个对象来实现的,当然这个是一个总代理,具体功能还是还是分给它下面的各个模块去负责。
认证,自然有一个认证对象,这里shiro将其抽象为Subject,所有的认证对象都是一个subject。认证subject通过subject.login()来实现。
对于认证的内容,这通常随着不同的系统有不同的变化,所以这里统一抽象为token(Authentication Token),当客户端有不同的token时,重新定义自己的token就可以了。
那么对于每一个请求是如果认证的呢?这里也是用了一个常用的概念-过滤器。
同样的,为了满足对不同的请求采用不同的过滤器,除了可以使用shiro内置的过滤器以外,我们同样可以自定义过滤器,同时,对于不同的请求,我们可以配置不同的过滤器采取不同的方式,比如对于图片请求等一些静态资源,我们可以对其放过权限认证,则可以配置为匿名过滤器,而对于一些敏感的页面,则可以配置更高级的多重过滤器进行验证。
客户端请求的时候,token的创建就可以在filter的处理中。
过滤器(filter)的工作方式其实与Servlet filter几乎等同,其基本过程就是对于当前的请求,查看其适用的filter,然后按顺序对filter应用过滤,如果filter过滤不通过,则可以直接返回。
哦,对了,shiro是一个框架,对于Subject的认证,在使用的时候自然要与我们的权限库进行对接,为此,shiro提供了一个接口,realm,将对接的事情都放在这里做。realm主要有两个接口,doGetAuthorizationInfo和 doGetAuthenticationInfo。前一个是跟权限判定有关的,后一个才是认证需要的,实现这个接口,将我们自己封装的token信息取出与权限库进行比对,通过则可以返回authenticationInfo.
session的创建
session何时创建?答案是按需创建,当用户需要session的时候,调用subject.getSession(),若session不存在就会创建session。