一、授权流程
在上一小节中,我们通过门面对象Subject.hasRole(String role) 、 Subject.checkPermissions(String permission)等接口,来判断用户是否拥有指定的角色信息或权限信息。那么,在Shiro内部,究竟做了哪些操作呢?本小节,我们通过追踪源码的方式,来查看一些Shiro授权部分的技术内幕。
首先,从上帝角度来查看一下授权流程。首先,调用门面对象Subject.hasRole等方法。
1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager。
2、SecurityManager接着会委托给内部组件Authorizer;
3、Authorizer再将其请求委托给我们的Realm去做;Realm才是真正干活的;
4、Realm将用户请求的参数封装成权限对象。再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合。
5、Realm将用户传入的权限对象,与从数据库中查出来的权限对象,进行一一对比。如果用户传入的权限对象在从数据库中查出来的权限对象中,则返回true,否则返回false。
二、授权源码追踪
(1)客户端调用 Subject.isPermitted("code:insert"),判断当前用户是否有"code:insert"权限。
(2)Subject门面对象接收到要被验证的权限信息"code:insert",并将其委托给securityManager中验证。
(3)securityManager将验证请求再次委托给内部的小弟:内部组件Authorizer authorizer。
(4)内部小弟authorizer也是个混子,将其委托给了我们自定义的Realm去做。
(5) 我们自定义的Realm先将用户传入的权限解析成一个Permission对象。再调用isPermitted(principals,p)方法。
(6)isPermitted的方法体中,调用我们重写的doGetAuthorizationInfo方法,获取我们从数据库中查询出来的权限信息。
(7) 最后将用户传入的权限,与我们从数据库中查出来的权限做比较。如果用户传入的权限在我们从数据库中查出来的权限中,则返回true,否则返回false。
----------------------------------------------------分割线-------------------------------------------------------
下一篇:第六节 与WEB集成原理分析
阅读更多:跟着大宇学Shiro目录贴
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
