Shiro登陆认证流程
shiro是如何进行权限验证的呢?
先引入依赖,配置ShiroConfig,自定义UserRealm,UserRealm是连接SecurityManager和数据库的桥梁,可以用于获取用户信息(加密的密码)和各种角色权限等。
1、首先用户要进行登录认证,这一步成功后才会授权权限
这一步先创建SecurityManager,subject将用户名和密码放入token,subject的登陆认证和权限授权都会委托给SecurityManager去处理,SecurityManager负责登录认证和权限授权过程。
在subject.login方法中经过一些列的方法跳转,最终SecurityManager开始执行UserRealm(用户自定义的Realm,如果不自定义会报错),先执行doGetAuthenticationInfo
进行登陆认证。
登陆认证方法:
2、权限授权
(1)、在ShiroConfig配置,允许权限注解
(2)、贴上权限注解
在接口上贴上@RequiresPermissions
,并写上此用户请求需要的权限
(3)、请求贴注解的接口,拦截器拦截此请求
当用户请求贴着权限注解标签(@RequiresPermissions
)接口的时候,会先经过过滤器(PermissionsAuthorizationFilter
),在过滤器中Subject会委托SecurityManager去判断是否有此标签的权限
(4)、然后SecurityManager委托AuthorizingRealm去判断是否有权限
SecurityManager继续委托AuthorizingRealm去判断是否有权限,AuthorizingRealm先从检查缓存,如果缓存为空那么就去自定义的UserRealm.doGetAuthorizationInfo方法中获取封装权限的info,UserRealm从数据库中查询此用户的所有权限然后封装成info,最后再将@RequiresPermissions
获取的权限和info中的权限对比,如果对比成功就说明已经授权,否则拒绝访问
UserRealm.doGetAuthorizationInfo方法:
从数据库中查出当前的所有权限,配置到info中,并存入缓存中