shrio学习过程的理解(1)

securityManager不管是从ini配置文件还是从xml配置文件都是从这些配置文件中获取
到他的属性设置信息,例如你设置一个user,设置一个realm实现,又在realm中实现一个
自己的验证规则,等等,他都会是根据自己的内部调用顺序去调用对应的实现,如果发现
你实现了就用你的,没有发现就用自己默认的,


例如:从你的配置文件中获取到了一个用户信息,然后token传进来,他就是用自己默认的
验证规则去验证登录,


再例如,我没有冲你的配置文件中获取到用户信息,但是获取到了一个realm,这个realm
还实现了验证规则,那么你把token传给securityManager,他就去根据这个规则去验证
能不能登录,


从目前来看,他的默认的验证规则就是查询设置给securityManager用户信息和你传入的
token进行比对.如果你覆盖了他的规则就肯定用你的,securityManager你给他舍不设置
用户信息就没有关系了


那个多个realm的验证和对应的验证顺序就不多说


从数据库获取用户信息进行校验,即使用JdbcRealm来验证
说白了,就是你传给我一个身份信息,我从数据库里面查询是不是有这个信息,当然,这个的
的前提就是你要给我配置好我去查询哪一个数据库,进一步,他有一套自己的查询规则,
就是shiro自己定义的一套查询语句,这个必须是可以换的,在对应的数据库里面创建自己
的表,然后重新定义查询语句就可以了,我现在能想到的是直接继承Jdbcrealm,然后重写
对应的方法,简单,粗暴


发现了吗,就是在围绕着securityManager在设置,这个比一定控制着校验的顺序,校验的
接口标准,包括授权,也就是说,我们要了解一个系统的安全设置,看一下系统对security
的设置就可以了


授权
上面讲了验证,验证了之后要干嘛,当让是授权了,不然你验证了干嘛,就是要给我说我能
不能干,这是事情还是securityManager来干,上面也说了,这个比控制着整个权限流程,
绕不开啊,授权这有一点没有搞懂,就是他的这个角色的名字从哪来,还有就是权限控制,
难道我要在每个方法上上面加一个注解???这肯定很逗啊,继续往下看
这里看到一个关键点,说shiro不维护角色和权限的,要应用自己维护,那就有这个可能,
通过注解给资源设置一个权限名称,然后通过配置去给用户授予这种权限,我勒个去,先看,
我先不吐槽,而且他的资源:操作这种授权这里的资源说的可能是表,.....!我感觉这牛逼了,