第五节 授权过程源代码追踪

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanluandai1985/article/details/79192699

一、授权流程

        在上一小节中,我们通过门面对象Subject.hasRole(String role) 、 Subject.checkPermissions(String permission)等接口,来判断用户是否拥有指定的角色信息或权限信息。那么,在Shiro内部,究竟做了哪些操作呢?本小节,我们通过追踪源码的方式,来查看一些Shiro授权部分的技术内幕。

        首先,从上帝角度来查看一下授权流程。首先,调用门面对象Subject.hasRole等方法。

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager。

2、SecurityManager接着会委托给内部组件Authorizer;

3、Authorizer再将其请求委托给我们的Realm去做;Realm才是真正干活的;

4、Realm将用户请求的参数封装成权限对象。再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合。

5、Realm将用户传入的权限对象,与从数据库中查出来的权限对象,进行一一对比。如果用户传入的权限对象在从数据库中查出来的权限对象中,则返回true,否则返回false。

二、授权源码追踪

        (1)客户端调用 Subject.isPermitted("code:insert"),判断当前用户是否有"code:insert"权限。

        (2)Subject门面对象接收到要被验证的权限信息"code:insert",并将其委托给securityManager中验证。

        (3)securityManager将验证请求再次委托给内部的小弟:内部组件Authorizer authorizer。

        (4)内部小弟authorizer也是个混子,将其委托给了我们自定义的Realm去做。

        (5) 我们自定义的Realm先将用户传入的权限解析成一个Permission对象。再调用isPermitted(principals,p)方法。

        (6)isPermitted的方法体中,调用我们重写的doGetAuthorizationInfo方法,获取我们从数据库中查询出来的权限信息。

        (7) 最后将用户传入的权限,与我们从数据库中查出来的权限做比较。如果用户传入的权限在我们从数据库中查出来的权限中,则返回true,否则返回false。

 

----------------------------------------------------分割线------------------------------------------------------- 

        下一篇:第六节 与WEB集成原理分析

        阅读更多:跟着大宇学Shiro目录贴

展开阅读全文

没有更多推荐了,返回首页