1、shiro安全框架可以用来干嘛
验证用户身份
用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
在非 Web 或 EJB 容器的环境下可以任意使用Session API
可以响应认证、访问控制,或者 Session 生命周期中发生的事件
可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
支持单点登录(SSO)功能
支持提供“Remember Me”服务,获取用户关联信息而无需登录
2、流程图
3、源码解析:
1)登录token的时候会选择一个realms
2)根据token去缓存中查找有没有认证信息,有的话直接返回info,但还是得比较(密码信息)凭证
3)通过hashmap存放ini文件里的账号
4、读写锁通过token里面账号去获取
5、如果info为空抛出 UnknownAccountException(msg)
6、如果账号正确,开始验证密码
7、如果密码不正确,抛出IncorrectCredentialsException(msg)
