本文详细介绍了Shiro框架中的授权管理机制,包括编程式和注解式的授权方式,以及如何在JSP中定义权限。此外,还探讨了Shiro中的认证与授权的区别,并解释了不同Realm策略的工作原理。
shiro笔记
shiro授权
shiro 是一个帮助用户管理认证授权的框架,但是它并不会维护用户、角色、权限的关系,so这个关系需要用户自己维护。
- 授权的方式
- java代码:编程式
- java代码:注解式
- jsp中定义权限
见页面
authentication :认证
authorization: 授权 分清楚两个单词的含义
FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;
AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;
AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。
Realm进行授权的话
如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:
1.1、如果调用hasRole*,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;
1.2、首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
2、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);
3、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
