1.默认情况下不关闭shiro session
登陆时生成JESSIONID,执行doGetAuthorizationInfo的时机
1、subject.hasRole(“admin”) 或
subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候;
2、@RequiresRoles(“admin”) :在方法上加注解的时候;
3、[@shiro.hasPermission name =
“admin”][/@shiro.hasPermission]:在页面上加shiro标签的时候,即进这个页面的时候扫描到有这个标签的时候。
从页面带过来的JSESSIONID被shiro验证通过即第一步登陆认证通过。
然后,执行权限认证。
2.关闭shiro session
这种情况一般用于前后端分离,使用自定义的shirorealm,每一次调用接口先执行登陆认证。然后根据注解情况去决定是否要执行权限认证。
1、subject.hasRole(“admin”) 或
subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候;
2、@RequiresRoles(“admin”) :在方法上加注解的时候;
第三种情况不会执行是因为此时由于关闭了shiro自带的session机制,当从页面请求时没有JSESSIONID shiro认为并没有登陆认证所以不会执行权限认证。