新人一枚 记录成长。。。
记录个人对于@RequirePermission注解的个人理解
@RequirePermission是shiro根据权限进行拦截的一种方式,可以加在controller的上面,也可以加在controller的方面上面,进行接口的拦截,避免有人通过url直接访问系统造成什么不好的影响。
@RequirePermission的实现 实际是通过subject的isPermitted()方法实现的。通过底层代码我们可以发现,它是通过securityManager的isPermitted()方法实现的。它会从session中获取到subject的principal信息(类似于账号),如果获取不到,就会返回true,估计后续有后续处理,例如报异常等等。在获取到subject的principal信息之后,会通过不断的点击isPermitted()方法,会发现它是不断地进行处理,获取subject的授权信息(在继承了AuthrizingRealm的realm域中,实现认证和授权方法获得),从授权信息中,获取权限集合。遍历权限集合,通过implies方法判断是否包含有@RequirePermission的权限,返回true或者false,判断是否允许访问被@RequirePermission注解保护的代码。
至于implies方法,讲真的我也没看懂。。。希望有大佬帮忙讲一下!!!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
