8.Shiro授权2_授权流程,多realm授权
1.授权流程如下:
1、首先调用 Subject.isPermitted*/hasRole* 接口,其会委托给SecurityManager,而 SecurityManager 接着会委托给 Authorizer;
2、Authorizer是真正的授权者,如果调用如isPermitted(“user:view”),其首先会通过
PermissionResolver 把字符串转换成相应的 Permission 实例;
3、在进行授权之前,其会调用相应的 Realm 获取 Subject 相应的角色/权限用于匹配传入的角色/权限;
4、Authorizer 会判断 Realm 的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer 进行循环判断,如果匹配如 isPermitted*/hasRole* 会返回true,否则返回false表示授权失败。
2.自定义realm
首先我们之前学习认证时,自定义realm继承的是AuthenticatingRealm类,在该类下我们实现了doGetAuthenticationInfo()抽象方法,来完成认证。
那我们要进行授权就需要继承AuthorizingRealm类,该类是AuthenticatingRealm其子类,在该类下我们实现两个抽象方法,来完成认证和授权。
认证:doGetAuthenticationInfo()方法
授权:doGetAuthorizationInfo()方法
实例:
public class TestRealm extends AuthorizingRealm{
/**
* 授权
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection paramPrincipalCollection) {
//1.从principal中获取用户登录信息
Object principal = paramPrincipalCollection.getPrimaryPrincipal();
//2.利用登陆的用户信息来获取用户的角色或者权限(可能需要查询数据库)
Set<String> roles = new HashSet<String>();
roles.add("user");
if("admin".equals(principal)) {
roles.add("admin");
}
//3.创建SimpleAuthorizationInfo,并设置roles属性
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);
//4.返回
return info;
}
}
注意:第一步获取登录用户信息时,getPrimaryPrincipal方法从一个LinkedHashMap中取出数据放到LinkedHashSet中,然后LinkedHashSet返回迭代器next()方法的结果,所以返回的只是第一条数据,当然单realm和多ream的情况是一样的。所以获取到的是IOC容器中realms属性配置的list认证通过的第一个realm的principal,也就是用户名。
其数量就是认证成功的realm的数量。
3.多realm授权将使用ModularRealmAuthorizer
ModularRealmAuthorizer 进行多 Realm 匹配流程:
1、首先检查相应的 Realm 是否实现了实现了Authorizer;
2、如果实现了 Authorizer,那么接着调用其相应的isPermitted*/hasRole* 接口进行匹配;
3、如果有一个Realm匹配那么将返回 true,否则返回 false。
源码流程:
流程图下载: Shiro授权2_授权流程