shiro

shiroFilter 中的 isAccessAllowed

/**

 * 这里我们详细说明下为什么最终返回的都是true，即允许访问

 * 例如我们提供一个地址 GET /article

 * 登入用户和游客看到的内容是不同的

 * 如果在这里返回了false，请求会被直接拦截，用户看不到任何东西

 * 所以我们在这里返回true，Controller中可以通过 subject.isAuthenticated() 来判断用户是否登入

 * 如果有些资源只有登入用户才能访问，我们只需要在方法上面加上 @RequiresAuthentication 注解即可

 * 但是这样做有一个缺点，就是不能够对GET,POST等请求进行分别过滤鉴权(因为我们重写了官方的方法)，但实际上对应用影响不大

 */

Filter

 

所有的请求都会先经过 Filter，继承官方的 BasicHttpAuthenticationFilter，并且重写鉴权的方法。

* <p>

* 代码的执行流程 preHandle -> isAccessAllowed -> isLoginAttempt -> executeLogin 

 

Realm

用户验证以及权限验证的地方，用户验证多加了一个校验，就是我们当前请求的 token 中包含的时间戳与缓存中的 RefreshToken 对比，一致才验证通过。

 

现在只做了认证，还没做授权

 

 

 在JWTFilter中的exexuteLogin执行判断逻辑

 

Header中如果包含Authornizatioin，则需要判断鉴权，如果不包含则按游客处理