shiro

 

1、 在这个项目中，我们使用的是shiro安全框架管理用户登录以及资源权限的控制。

2、 实现细节：用户在点击登录后，会将用户信息封装成一个token调用subject.login()方法提交认证，shiro的securityManager安全管理器会调用Authenticator执行认证，调用realm（realm类需要实现AuthorizingRealm接口重写认证和授权的方法）的token.getPrincipal()方法获取用户名以及密码，将密码与数据库中该用户的密码进行对比，如果验证成功，将返回 AuthenticationInfo 验证信息；此信息中包含了身份及凭证；如果验证失败将抛出相应的 AuthenticationException 实现。如果登录成功，会根据当前登录用户获取对应的菜单权限，在realm中进行用户的权限的授予。调用realm的hasRole判断当前用户是否有这个角色权限。isPermitted是shiro框架提供的判断是否拥有某个权限或所有权限，针对不同权限加载不同的菜单或者执行不同的操作权限。