Shiro授权验证

上节我们对认证过滤器的整个处理流程通过源码梳理了一下,本节我们将了解另一个重量级的过滤器授权过滤器PermissionsAuthorizationFilter,下面我们具体分析下。

PermissionsAuthorizationFilter也是AccessControlFilter的子类实现

AccessControlFilter也会执行onPreHandle()

1
2
3
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

查看具体实现在PermissionsAuthorizationFilter.isAccessAllowed()

从该方法中我们可以知道默认是允许访问的boolean isPermitted =true当我们对某个资源的权限标识为null则意味着它可以被所有人访问。

调用DelegatingSubject.isPermitted()

1
2
3
4
public boolean isPermitted(String permission) {
	//判断是否有账号,根据账号获取其拥有的所有权限和当前资源的权限进行比较
    return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
}

关于Subject的hasPrincipals()方法我们下一节会分析Subject创建过程,有账号才能来验证有没有权限,调用AuthorizingRealm类中的isPermitted()

获取认证信息

我们需要自己去继承Realm接口实现,获取权限信息

获取的该用户所拥有的权限标识信息与该资源的需要的权限信息比较是否存在,存在则有访问权限,不存在则没有访问权限

我们看一下onAccessDenied方法的具体实现,也就是不具备访问权限时如何处理

具体看看如何判断是否有权限

下面我们重点介绍:

如何根据权限名获取权限信息 、如何根据用户角色获取权限信息

  • 根据权限名获取权限信息

  • 根据用户角色获取权限信息

本文作者: 顾 明 训
本文链接: https://www.itzones.cn/2019/07/29/Shiro授权验证/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true