shiro初步 shiro授权

原文链接： https://yq.aliyun.com/articles/71379

授权流程

三种授权方法

Shiro 支持三种方式的授权：
编程式：通过写if/else 授权代码块完成：

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
    //有权限
    } else {
    //无权限
    }

注解式：通过在执行的Java方法上放置相应的注解完成：

@RequiresRoles("admin")
public void hello() {
//有权限
}

JSP/GSP 标签：在JSP/GSP 页面通过相应的标签完成：

<shiro:hasRole name="admin">
<!— 有权限—>
shiro:hasRole>

在原来自定义的realm中，修改doGetAuthorizationInfo方法

1、对subject进行授权，调用方法isPermitted（”permission串”）
2、SecurityManager执行授权，通过ModularRealmAuthorizer执行授权
3、ModularRealmAuthorizer执行realm（自定义的CustomRealm）从数据库查询权限数据
调用realm的授权方法：doGetAuthorizationInfo
4、realm从数据库查询权限数据，返回ModularRealmAuthorizer
5、ModularRealmAuthorizer调用PermissionResolver进行权限串比对
6、如果比对后，isPermitted中”permission串”在realm查询到权限数据中，说明用户访问permission串有权限，否则 没有权限，抛出异常。

GitHub下载地址