一、授权流程

      在上一小节中，我们通过门面对象Subject.hasRole(String role) 、 Subject.checkPermissions(String permission)等接口，来判断用户是否拥有指定的角色信息或权限信息。那么，在Shiro内部，究竟做了哪些操作呢？本小节，我们通过追踪源码的方式，来查看一些Shiro授权部分的技术内幕。

      首先，从上帝角度来查看一下授权流程。首先，调用门面对象Subject.hasRole等方法。

1、首先调用Subject.isPermitted*/hasRole*接口，其会委托给SecurityManager。

2、SecurityManager接着会委托给内部组件Authorizer；

3、Authorizer再将其请求委托给我们的Realm去做；Realm才是真正干活的；

4、Realm将用户请求的参数封装成权限对象。再从我们重写的doGetAuthorizationInfo方法中获取从数据库中查询到的权限集合。

5、Realm将用户传入的权限对象，与从数据库中查出来的权限对象，进行一一对比。如果用户传入的权限对象在从数据库中查出来的权限对象中，则返回true，否则返回false。

二、授权源码追踪

      （1）客户端调用 Subject.isPermitted("code:insert")，判断当前用户是否有"code:insert"权限。

      （2）Subject门面对象接收到要被验证的权限信息"code:insert"，并将其委托给securityManager中验证。

      （3）securityManager将验证请求再次委托给内部的小弟：内部组件Authorizer authorizer。

      （4）内部小弟authorizer也是个混子，将其委托给了我们自定义的Realm去做。

      （5） 我们自定义的Realm先将用户传入的权限解析成一个Permission对象。再调用isPermitted(principals,p)方法。

      （6）isPermitted的方法体中，调用我们重写的doGetAuthorizationInfo方法，获取我们从数据库中查询出来的权限信息。

      （7） 最后将用户传入的权限，与我们从数据库中查出来的权限做比较。如果用户传入的权限在我们从数据库中查出来的权限中，则返回true，否则返回false。