授权流程

三种授权方法

Shiro 支持三种方式的授权：

编程式：通过写if/else 授权代码块完成：

Subject subject = SecurityUtils.getSubject();if(subject.hasRole(“admin”)) {    //有权限    } else {    //无权限    }

注解式：通过在执行的Java方法上放置相应的注解完成：

@RequiresRoles("admin")public void hello() {//有权限}

JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成：

在原来自定义的realm中，修改doGetAuthorizationInfo方法

1、对subject进行授权，调用方法isPermitted（”permission串”）

2、SecurityManager执行授权，通过ModularRealmAuthorizer执行授权 3、ModularRealmAuthorizer执行realm（自定义的CustomRealm）从数据库查询权限数据 调用realm的授权方法：doGetAuthorizationInfo 4、realm从数据库查询权限数据，返回ModularRealmAuthorizer 5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对 6、如果比对后，isPermitted中”permission串”在realm查询到权限数据中，说明用户访问permission串有权限，否则 没有权限，抛出异常。