上一章的代码实现还存在一些问题,如角色表、权限表的用处没有体现出来,但是已经能完成URL拦截功能,后面将会继续完善认证及授权的过程。
认证及授权的过程如下:
1、容器启动,MyInvocationSecurityMetadataSourceService类执行loadResourceDefine()方法,提取数据库中所有的资源,并将资源URL作为key,资源标识作为value,形成Map结构的数据。
2、用户发送请求,若该请求未设置不拦截属性,则MySecurityFilter类执行doFilter()方法,拦截该请求。
3、调用MyInvocationSecurityMetadataSourceService类的getAttributes(Object object)方法,获取访问该请求需要的权限(资源标识)。
4、接着调用MyAccessDecisionManager类的decide()方法,验证用户是否拥有访问权限。有则通过,无则提示无权限访问该资源。若此时未登录,则跳转到登录页面。
5、登录时,MyUsernamePasswordAuthenticationFilter类执行attemptAuthentication()方法,获得认证。
6、登录成功后,调用MyUserDetailsService类的loadUserByUsername()方法获得一个Userdetail实体,该方法的作用的对用户进行授权。
7、重复2、3、4步拦截访问请求。