Shiro为什么要先认证后授权
作为十分出色的安全框架Shiro,他的正常使用流程是,验证,授权,分配资源。但为什么要先认证再授权呢?
我的理解是,首先Shiro的安全机制就像一所高中一样,而进入学校这需要进行认证,认证标识则为学生卡,当学生进入学校时只需要刷卡认证即可进入学校,而一些非法人员,则无法通过。授权,就可以理解为是校长在分发身份,对于一所学校来说,学生众多校长不可能全部认识,所以如果直接授权的话,可能会出现安全隐患。
而Shiro不先进行验证的话,可能会使一些非法人员通过非法手段直接进入后台,这可能会导致十分严重的安全事故
Shiro作为安全框架遵循先认证后授权的流程,以确保只有合法用户能访问资源。首先,认证如同学生卡验证,防止非法人员进入系统。授权则是分配权限的过程,若直接授权可能存在安全隐患。先验证可以避免未认证的用户直接访问敏感后台,保证系统的安全性。
1万+

被折叠的 条评论
为什么被折叠?



