在这个项目中,我们使用的是shiro安全框架管理用户登录以及资源权限的控制。
实现细节:用户在点击登录后,会将用户信息封装成一个token调用subject.login()方法提交认证,shiro的securityManager安全管理器会调用Authenticator执行认证,调用realm(realm类需要实现AuthorizingRealm接口重写认证和授权的方法)的token.getPrincipal()方法获取用户名以及密码,将密码与数据库中该用户的密码进行对比,如果验证成功,将返回 AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 实现。如果登录成功,会根据当前登录用户获取对应的菜单权限,在realm中进行用户的权限的授予。调用realm的hasRole判断当前用户是否有这个角色权限。isPermitted是shiro框架提供的判断是否拥有某个权限或所有权限,针对不同权限加载不同的菜单或者执行不同的操作权限。