我們可以定義多個Realm權限類,繼承AuthenticatingRealm。
如果是這樣,那Shiro驗證的政策和順序是怎樣的呢?
政策
通過檢視源碼,Shiro的Spring Boot自動配置是至少一個通過政策,即有一個權限類通過就判定有權限并通過。
自動配置類:
org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration
其他還有全部通過、首個通過,更多可以檢視Shiro包下面的權限政策。
org.apache.shiro.authc.pam
順序
Shiro是按在Spring Boot配置類中定義Realm Bean的順序進行驗證權限的。
驗證流程
假設現在有R1,R2權限類,現在我們對一個方法或者路徑配置了A角色,B、C權限,Shiro會在R1中找A角色,找到則繼續驗證其他權限,找不到根據政策決定,如果說不是全部都要通過的政策則會繼續在R2中找A角色,找不到則跳到指定的未授權連結,B、C權限驗證流程也是一緻。
Shiro緩存
為了權限驗證的效率性能,Shiro對認證和授權是有緩存開關控制的。
需要了解的權限類層次是,每個Realm都繼承AuthorizingRealm,AuthorizingRealm繼承自AuthenticatingRealm。AuthenticatingRealm是認證的邏輯,AuthorizingRealm是授權的邏輯。
通過檢視AuthorizingRealm和AuthenticatingRealm源碼,預設的認證緩存是關閉的,授權緩存是開啟的。
authorizationCachingEnabled = true; // 授權
authenticationCachingEnabled = false; // 認證
這裡預設開啟了緩存還不行,還需要設定CacheManager,如下。
具體的緩存邏輯可以翻閱以下源碼。
org.apache.shiro.realm.AuthorizingRealm#getAuthorizationInfo
org.apache.shiro.realm.AuthenticatingRealm#getAuthenticationInfo
設定緩存開關
有的時候我們的權限不是固定的,需要動态的調整授權,是以希望某些Realm不需要緩存。
我們可以在目前Realm中手動關閉某它的的授權緩存。
同上,預設關閉的認證的緩存也可以通過設定進行打開。
根據具體的業務進行靈活調整。
推薦去我的部落格閱讀更多:
1.Java JVM、集合、多線程、新特性系列教程
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
4.Java、後端、架構、阿裡巴巴等大廠最新面試題
覺得不錯,别忘了點贊+轉發哦!