我們可以定義多個Realm權限類,繼承AuthenticatingRealm。
如果是這樣,那Shiro驗證的策略和順序是怎樣的呢?
策略
通過查看源碼,Shiro的Spring Boot自動配置是至少一個通過策略,即有一個權限類通過就判定有權限並通過。
自動配置類:
org.apache.shiro.spring.config.web.autoconfigure.ShiroWebAutoConfiguration
@Bean
@ConditionalOnMissingBean
@Override
protected AuthenticationStrategy authenticationStrategy() {
return super.authenticationStrategy();
}
protected AuthenticationStrategy authenticationStrategy() {
return new AtLeastOneSuccessfulStrategy();
}
其他還有全部通過、首個通過,更多可以查看Shiro包下面的權限策略。
org.apache.shiro.authc.pam
順序
Shiro是按在Spring Boot配置類中定義Realm Bean的順序進行驗證權限的。
驗證流程
假設現在有R1,R2權限類,現在我們對一個方法或者路徑配置了A角色,B、C權限,Shiro會在R1中找A角色,找到則繼續驗證其他權限,找不到根據策略決定,如果說不是全部都要通過的策略則會繼續在R2中找A角色,找不到則跳到指定的未授權鏈接,B、C權限驗證流程也是一致。
Shiro緩存
為了權限驗證的效率性能,Shiro對認證和授權是有緩存開關控制的。
需要了解的權限類層次是,每個Realm都繼承AuthorizingRealm,AuthorizingRealm繼承自AuthenticatingRealm。AuthenticatingRealm是認證的邏輯,AuthorizingRealm是授權的邏輯。
通過查看AuthorizingRealm和AuthenticatingRealm源碼,默認的認證緩存是關閉的,授權緩存是開啟的。
authorizationCachingEnabled = true; // 授權
authenticationCachingEnabled = false; // 認證
這里默認開啟了緩存還不行,還需要設置CacheManager,如下。
@Bean
public CacheManager cacheManager() {
return new MemoryConstrainedCacheManager();
}
具體的緩存邏輯可以翻閱以下源碼。
org.apache.shiro.realm.AuthorizingRealm#getAuthorizationInfo
org.apache.shiro.realm.AuthenticatingRealm#getAuthenticationInfo
設置緩存開關
有的時候我們的權限不是固定的,需要動態的調整授權,所以希望某些Realm不需要緩存。
我們可以在當前Realm中手動關閉某它的的授權緩存。
this.setAuthorizationCachingEnabled(false);
同上,默認關閉的認證的緩存也可以通過設置進行打開。
根據具體的業務進行靈活調整。
推薦去我的博客閱讀更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
覺得不錯,別忘了點贊+轉發哦!