shiro登录过程分析

最新推荐文章于 2024-03-04 15:09:18 发布
最新推荐文章于 2024-03-04 15:09:18 发布
阅读量9.7k 收藏 16
点赞数 9
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jin5203344/article/details/53174341
版权

关于shiro就不用做过多介绍了,今天主要分析下登录过程


首先我大致画了个流程图(可能不够详细):

第一步:用户登录,根据用户登录名密码生产Token 

UsernamePasswordToken token = new UsernamePasswordToken(username, password);
Subject subject = SecurityUtils.getSubject();
subject.login(token);
这里调用了代理subject的login方法,代码如下: 

 public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }
可以看到第二行,实际是调用securityManager的login方法

第二步:调用securityManager的login方法 

 public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
    }
   第三步:调用securityManager的 authenticate方法 该方法在 其上级类 AuthenticatingSecurityManager中,代码如下: 

 public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }
实际调用了authenticator的authenticate方法,而AuthenticatingSecurityManager的无参构造函数中 

public AuthenticatingSecurityManager() {
        super();
        this.authenticator = new ModularRealmAuthenticator();
    }
而ModularRealmAuthenticator类继承了AbstractAuthenticator类

    第四步:调用AbstractAuthenticator的authenticate方法

public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {

        if (token == null) {
            throw new IllegalArgumentException("Method argumet (authentication token) cannot be null.");
        }

        log.trace("Authentication attempt received for token [{}]", token);

        AuthenticationInfo info;
        try {
            info = doAuthenticate(token);
            if (info == null) {
                String msg = "No account information found for authentication token [" + token + "] by this " +
                        "Authenticator instance.  Please check that it is configured correctly.";
                throw new AuthenticationException(msg);
            }
        } catch (Throwable t) {
            AuthenticationException ae = null;
            if (t instanceof AuthenticationException) {
                ae = (AuthenticationException) t;
            }
            if (ae == null) {
                //Exception thrown was not an expected AuthenticationException.  Therefore it is probably a little more
                //severe or unexpected.  So, wrap in an AuthenticationException, log to warn, and propagate:
                String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " +
                        "error? (Typical or expected login exceptions should extend from AuthenticationException).";
                ae = new AuthenticationException(msg, t);
            }
            try {
                notifyFailure(token, ae);
            } catch (Throwable t2) {
                if (log.isWarnEnabled()) {
                    String msg = "Unable to send notification for failed authentication attempt - listener error?.  " +
                            "Please check your AuthenticationListener implementation(s).  Logging sending exception " +
                            "and propagating original AuthenticationException instead...";
                    log.warn(msg, t2);
                }
            }


            throw ae;
        }

        log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);

        notifySuccess(token, info);

        return info;
    }
看try语句中的 doAuthenticate()方法 则是在其子类ModularRealmAuthenticator中实现,所以

第五步:调用ModularRealmAuthenticator的doAuthenticate方法

 protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }
第二行获取realms,但我们记得只配置过realm,realms是什么时候赋值的呢,其实很简单  spring对bean属性的赋值是通过反射 实际调用的是set方法,即我们配置了

一个property 为realm的属性  对属性注入的时候调用的setRealm方法

 public void setRealm(Realm realm) {
        if (realm == null) {
            throw new IllegalArgumentException("Realm argument cannot be null");
        }
        Collection<Realm> realms = new ArrayList<Realm>(1);
        realms.add(realm);
        setRealms(realms);
    }
所以这里我们的realms实际就是配置的realm,当然前提是我们只配置了单个

第六步:调用ModularRealmAuthenticator的doSingleRealmAuthentication方法

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }
其中调用了realm自身的getAuthenticationInfo方法

第七步:调用AuthenticatingRealm的getAuthenticationInfo方法

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }
     第一行代码,通过缓存获取AuthenticationInfo,说到这里正好看看缓存是怎么实现的,同样代码全在这,跟着走就行

 而我们的cacheManager哪来的呢,我们发现在setRealm方法中调用了setRealms

 public void setRealms(Collection<Realm> realms) {
        if (realms == null) {
            throw new IllegalArgumentException("Realms collection argument cannot be null.");
        }
        if (realms.isEmpty()) {
            throw new IllegalArgumentException("Realms collection argument cannot be empty.");
        }
        this.realms = realms;
        afterRealmsSet();
    }

    protected void afterRealmsSet() {
        applyCacheManagerToRealms();
        applyEventBusToRealms();
    }
可以看到在设置完realms以后调用了一个后续处理方法,在afterRealmsSet中 有个调用 applyCacheManagerToRealms方法 ,字面意思也是很好理解 应用缓存管理器

到realms中,而这种方法代码为:

protected void applyCacheManagerToRealms() {
        CacheManager cacheManager = getCacheManager();
        Collection<Realm> realms = getRealms();
        if (cacheManager != null && realms != null && !realms.isEmpty()) {
            for (Realm realm : realms) {
                if (realm instanceof CacheManagerAware) {
                    ((CacheManagerAware) realm).setCacheManager(cacheManager);
                }
            }
        }
    }
实际就是判断如果cacheManager不为空 就循环realms设置cacheManager

(有点啰嗦,哈哈,自己当时就是这么想的)

在上面getAuthenticationInfo方法中,我们刚才说过第一行是从缓存中取AuthenticationInfo,如果为空

第八步:调用realm的doGetAuthenticationInfo方法 

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// TODO Auto-generated method stub
		String userName = (String) token.getPrincipal();
//通过token获取用户信息,这里我们一般从数据库中查询
		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName());
		return authenticationInfo;
	}
返回AuthenticationInfo,接着下面代码 

if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
判断 如果token与获取到的 AuthenticationInfo都不为空,缓存 AuthenticationInfo信息

关于从缓存中查询AuthenticationInfo以及缓存AuthenticationInfo信息的方法 这里就不作分析了,可以看做对一个map的操作吧

当然到这里还没完,同样在上面方法中, 

 if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }
如果 AuthenticationInfo不为空 即通过登录用户查询到了对应的信息

第九步:调用assertCredentialsMatch方法

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                //not successful - throw an exception to indicate this:
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                    "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                    "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }
第一行获取CredentialsMatcher,如果不为空

第十步:调用CredentialsMatcher的doCredentialsMatch方法,当然CredentialsMatcher我们可以自定义了

第十一步:上面步骤都通过以后回到DefualtSecurityManager的login方法中 

	Subject loggedIn = createSubject(token, info, subject);
创建Subject  

protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) {
        SubjectContext context = createSubjectContext();
        context.setAuthenticated(true);
        context.setAuthenticationToken(token);
        context.setAuthenticationInfo(info);
        if (existing != null) {
            context.setSubject(existing);
        }
        return createSubject(context);
    }
接着就是通过SubjectFactory生成subject,这里就不说了,就是从我们查询把我们查询到的用户身份信息关联到对应的subject中


整个过程大致就是这样了,可能有遗漏,后续再慢慢补充咯




丶roc
关注
  • 9
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Shrio使用总结]-详解shiro配置文件
jieinasiainfo的博客
04-25 4491
使用shrio就不得不对shiro的架构进行分析,笔者分析一个框架一般从它的配置文件入手,可以快速了解整个框架的大体结构。详解securityManager配置:<!-- shiro安全管理器 设置cacheManage,下列属性有实现CacheManagerAware接口的,都会自动注入缓存管理器--> <bean id="securityManager" class="org.apache
Shiro主配置文件分析
weixin_69323488的博客
04-14 73
Shiro主配置文件分析
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
shiro登陆注销权限控制
08-22
将focus.sql在Mysql数据库执行,后再项目yml文件中修改数据库配置即可直接启动项目。登陆账户名称和密码直接在数据库查看
系统的登录授权流程
TwilighTzvz的博客
03-04 710
常见RABC类型系统的登录流程
shiro 内存模型分析
09-18
shiro 内存模型分析
Jeesite 登录login涉及到shiro验证和授权的流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
Shiro+Redis实现登陆账号锁定功能
最新发布
04-01
Tips:默认条件下,若同一账户的密码连续输错五次,该账户将被自动锁定,无法进行登录。锁定将持续十分钟后自动解除。
shiro学习笔记——从源码角度分析shiro身份验证过程
xiaoy81的专栏
02-02 5963
前言:本文大部分是原创,自己一点点看源码抠出来的,都是自己的理解,技术有限,有不对的地方还请大家指正。文中引用了大量的源码,自己加的注释,可以从头看出整个的验证过程,方便在各个地方自定义扩展,类关系图不画了,大家凑合看~ 正文: public interface SecurityManager extends Authenticator, Authorizer, SessionM
RealmSecurityManager抽象类源码解析
iteye_10899的博客
11-03 344
RealmSecurityManager抽象类继承了CachingSecurityManager缓存安全管理器,先对其解析如下: 1.CachingSecurityManager缓存安全管理器 这部分的源码解析可以参照CachingSecurityManager抽象类源码解析。 2.RealmSecurityManager抽象类 2.1数据属性(安全数据信息) private Col...
生成安全管理器
祈祷之手
06-27 573
生成安全管理器 初始化安全管理器工厂 获得ini对象 设置ini对象 获取安全管理器实例 createSecurityManager createDefault buildInstances getSecurityManagerBean applyRealmsToSecurityManager initRealm 生命周期初始化 总结 设置全局安全管理器对象 附注 加入新节区对...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
Shrio源码分析(7) - 安全管理器(SecurityManager)
chenwei7858的博客
02-06 189
Shiro中SecurityManager是最核心的组件,Shiro架构的心脏,用来协调内部各安全组件,管理内部组件实例,并通过它来提供安全管理的各种服务。当Shiro与一个Subject进行交互时,实质上是幕后的SecurityManager处理所有繁重的Subject安全操作。 Secu...
Shiro 2 Subject的创建
ry的专栏
06-24 2505
SecurityUtils中 public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Subject.Builder()).buildSubject();
Shiro(二)——shiro 登录流程、整合 SSM + ShiroShiro 密码加密(编码方式、密码加盐)、JdbcRealm(采取哪个数据作盐)、自定义访问数据库或字段、多 Realm 配置
qq_41824825的博客
01-20 1285
Shiro(二)—— 一、shiro 登录流程 1、shiro 登录流程 二、整合 SSM + Shiro 在 SS SHiro 的基础上导入 mybatis。 1、依赖导入 所有依赖: 2、Spring 配置文件 这里是原有配置代码的基础上添加新的进去,而不是只有这个: 这里注释,因为这一块可以通过注解去注释: 然后 MyRealm 添加注解: 然后自己添加一个实体类,写一个查询方法,接着修改 MyRealm: 到这里为止,就算整合完成了。 三、Shiro 密码加密 1、编码方式 2、密码
shiro登录流程大剖析
ikownyou的博客
03-09 5022
关于shiro我会出一个专题进行讲解,相信当家通过开涛博客都不会陌生,今天着重讲下登录流程1.大致流程图如下第一步:用户登录,根据用户登录名密码生产Token UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.getSubject(...
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 4668
一起跟着源码看 Shiro登录认证流程
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。 具体来说,当Shiro框架在反序列化过程中,会调用Java的ObjectInputStream类的readObject()方法,攻击者可以通过构造恶意的序列化数据包,使得该方法在反序列化时触发任意代码执行。攻击者可以通过此漏洞在目标服务器上执行任意命令,获取敏感信息等。 此漏洞对于使用了Shiro框架的Java应用程序来说是非常危险的。建议及时升级Shiro框架版本,或者关闭相关功能以避免此类漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值