Jeesite 登录login涉及到shiro验证和授权的流程分析

实习生阶段：进来公司没任何培训，给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo（突然感觉头有点大，没人带）然后自己被分配了做涉及使用shiro的登录模块的开发，随时做下笔记，第一次写博客，第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程（关于shrio，先学习下快速入门的使用知识，http://www.cnblogs.com/learnhow/p/5694876.html Shiro 是一个强大的 Java 安全框架，用于处理身份验证（Authentication）、授权（Authorization）以及会话管理（Session Management）。在 Jeesite 框架中，Shiro 被用来实现用户登录验证和权限控制。以下是 Jeesite 使用 Shiro 进行登录验证和授权的主要流程的详细说明： 1. **前端登录处理**： - 用户通过 `syslogin.jsp` 页面输入用户名和密码，并提交表单。 - 表单提交的目标 `/a/login` 会被 Jeesite 的 `LoginController` 处理。 2. **Shiro 过滤器介入**： - Shiro 配置了一个名为 `authc.FormAuthenticationFilter` 的过滤器，当用户尝试访问受保护的资源时，会触发 Shiro 进行验证。 - 如果用户未登录，Shiro 将自动重定向到配置的 `loginUrl`，在 Jeesite 中，这通常是登录界面。 3. **创建 Token**： - `FormAuthenticationFilter` 会捕获前端提交的 `username` 和 `password`，并使用 `createToken` 方法创建一个包含这些信息的自定义 `Token`。 - Jeesite 的 `security` 层中，`FormAuthenticationFilter` 重写了 `createToken` 方法，以适应 Jeesite 的特定需求。 4. **验证用户身份**： - `Token` 被传递给 `SystemAuthorizingRealm` 的 `doGetAuthenticationInfo` 方法。 - `SystemAuthorizingRealm` 通过 `systemService` 实例调用 `UserUtils` 获取 `userDao`，并根据用户名查询数据库中的 `User` 对象及其密码。 - 同时，查询用户的角色信息，生成 `AuthenticationInfo`。 5. **密码验证**： - `AuthenticationInfo` 会传递给 Shiro 内部的 `AuthenticatingRealm`，其 `getAuthenticationInfo` 方法会与数据库中查询到的密码进行比较。 - 实际的密码匹配发生在 `assertCredentialsMatch` 函数中的 `doCredentialsMatch(token, info)`，匹配成功则返回 `true`，否则抛出 `AuthenticationException`。 6. **权限授权**： - 密码验证成功后，用户的部分信息将被赋值到 Principal 对象，便于后续权限判断。 - 通过 `doGetAuthorizationInfo` 方法进行菜单授权。首先获取已验证的 `User`，然后使用 `UserUtils` 获取 `menuDao`，根据用户 ID 查询用户的菜单列表。 - 遍历菜单列表，将基于 `Permission` 的权限信息、用户权限和角色信息添加到 `info` 中，完成用户授权。 7. **会话管理**： - 授权完成后，Shiro 会处理用户的会话，包括创建、更新和管理用户的会话状态。 8. **后续处理**： - 登录成功后，Shiro 会根据用户的权限控制是否允许访问特定的资源，确保安全的用户体验。 通过以上步骤，Jeesite 结合 Shiro 实现了登录验证和权限管理，确保了系统的安全性。对于初次接触 Shiro 的开发者，理解这些流程至关重要，可以帮助他们更好地理解和定制 Jeesite 的安全功能。在实际开发中，开发者还可以根据需求扩展 Shiro 的配置和 Realm 类，以满足更复杂的安全需求。