2018.3.8 shiro的buildSubject相关源码解析

最新推荐文章于 2022-05-02 14:14:37 发布
最新推荐文章于 2022-05-02 14:14:37 发布
阅读量924 收藏
点赞数
分类专栏: shiro源码解析 文章标签: shiro 源码解析 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyuhui195134/article/details/79472554
版权

在自己的项目中,对login方法的使用示例:

Subject currentUser = new Subject.Builder().buildSubject();
token = new UsernamePasswordToken(username,password);
currentUser.login(token);


Subject.Builder().builderSubject实际最终调用的是securityManger.createSubject()。

public interface Subject{
	//其余略
	void login(AuthenticationToken token) throws AuthenticationException;
	void logout();

	public static class Builder {
		//其余略
		private final SubjectContext subjectContext;
		private final SecurityManager securityManager;

		public Builder() {
			this(SecurityUtils.getSecurityManager());
		}

		public Subject buildSubject() {
			return this.securityManager.createSubject(this.subjectContext);
		}

		public Builder(SecurityManager securityManager) {
			if (securityManager == null) {
				throw new NullPointerException("SecurityManager method argument cannot be null.");
			}
			this.securityManager = securityManager;
			this.subjectContext = newSubjectContextInstance();
			if (this.subjectContext == null) {
				throw new IllegalStateException("Subject instance returned from 'newSubjectContextInstance' " +
							"cannot be null.");
			}
			this.subjectContext.setSecurityManager(securityManager);
		
		}

		protected SubjectContext newSubjectContextInstance() {
			return new DefaultSubjectContext();
		}

	}
}


DefaultSecurityManager是SecurityManger的实现类,它有一个子类DefaultWebSecurityManager,用于web环境。

DefaultSecurityManager的无参构造函数如下。

public class DefaultSecurityManager extends SessionsSecurityManager {
	public DefaultSecurityManager() {
            super();
            this.subjectFactory = new DefaultSubjectFactory();
            this.subjectDAO = new DefaultSubjectDAO();
    }
}


DefaultWebSecurityManager的无参构造函数如下。

public class DefaultWebSecurityManager extends DefaultSecurityManager implements WebSecurityManager {
	public DefaultWebSecurityManager() {
            super();
            ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
            this.sessionMode = HTTP_SESSION_MODE;
            setSubjectFactory(new DefaultWebSubjectFactory());
            setRememberMeManager(new CookieRememberMeManager());
            setSessionManager(new ServletContainerSessionManager());
        }
}

在这里以DefaultSecurityManager.createSubject()为例。DefaultWebSecurityManager中并没有重写父类的createSubject方法。子方法的重写这里不详述了。

public class DefaultSecurityManager extends SessionsSecurityManager {

	public Subject createSubject(SubjectContext subjectContext) {
		SubjectContext context = copy(subjectContext);

		context = ensureSecurityManager(context);
		context = resolveSession(context);
		context = resolvePrincipals(context);

		Subject subject = doCreateSubject(context);
		save(subject);

		return subject;
	}
}


1 copy

首先创建了一个copy,以免修改原本的SubjectContext。

SubjectContext接口继承自map,里面存有一些相关信息,比如securityManger,subject,sessionId,principals,session等。DefaultSubjectContext是它的默认实现,他有一个子类是DefaultWebSubjectContext。

这里可以理解为拿到上下文环境。

public class DefaultSecurityManager extends SessionsSecurityManager {

	protected SubjectContext copy(SubjectContext subjectContext) {
			return new DefaultSubjectContext(subjectContext);
	}
}


2 ensure security manager

然后要确认securityManager是否存在context中,不存在则创建。创建完后放入subjectContext,以后就直接从中取出。

context.resolveSecurityManager()实际最终调用的是SecurityUtils.getSecurityManager()来获取。

public class DefaultSecurityManager extends SessionsSecurityManager {

	protected SubjectContext ensureSecurityManager(SubjectContext context) {
		if (context.resolveSecurityManager() != null) {
			log.trace("Context already contains a SecurityManager instance.  Returning.");
			return context;
		}
		log.trace("No SecurityManager found in context.  Adding self reference.");
		context.setSecurityManager(this);
		return context;
	}
}

public class DefaultSubjectContext extends MapContext implements SubjectContext {

	public SecurityManager resolveSecurityManager() {
		SecurityManager securityManager = this.getSecurityManager();
		
		if (securityManager == null) {
			if (log.isDebugEnabled()) {
				log.debug("No SecurityManager available in subject context map.  Falling back to SecurityUtils.getSecurityManager() lookup.");
			}

			try {
				securityManager = SecurityUtils.getSecurityManager();
			} catch (UnavailableSecurityManagerException var3) {
				if (log.isDebugEnabled()) {
					log.debug("No SecurityManager available via SecurityUtils.  Heuristics exhausted.", var3);
				}
			}
		}

		return securityManager;
	}
}

public abstract class SecurityUtils {
	//其余略
	private static SecurityManager securityManager;
	
	public static void setSecurityManager(SecurityManager securityManager) {
        SecurityUtils.securityManager = securityManager;
    }
	
	public static SecurityManager getSecurityManager() throws UnavailableSecurityManagerException {
		SecurityManager securityManager = ThreadContext.getSecurityManager();
		if (securityManager == null) {
			securityManager = SecurityUtils.securityManager;
		}
		if (securityManager == null) {
			String msg = "No SecurityManager accessible to the calling code, either bound to the " +
					ThreadContext.class.getName() + " or as a vm static singleton.  This is an invalid application " +
					"configuration.";
			throw new UnavailableSecurityManagerException(msg);
		}
		return securityManager;
	}
}

3 resolve session

然后要确认session是否存在,不存在则创建,因为后续的操作要用到。同上,创建完后放入subjectContext,以后就直接从中取出。

public class DefaultSecurityManager extends SessionsSecurityManager {

    protected SubjectContext resolveSession(SubjectContext context) {
        if (context.resolveSession() != null) {
            log.debug("Context already contains a session.  Returning.");
            return context;
        }
        try {
            //Context couldn't resolve it directly, let's see if we can since we have direct access to 
            //the session manager:
            Session session = resolveContextSession(context);
            if (session != null) {
                context.setSession(session);
            }
        } catch (InvalidSessionException e) {
            log.debug("Resolved SubjectContext context session is invalid.  Ignoring and creating an anonymous " +
                    "(session-less) Subject instance.", e);
        }
        return context;
    }
}


public class DefaultSubjectContext extends MapContext implements SubjectContext {

	public Session resolveSession() {
        Session session = getSession();
        if (session == null) {
            Subject existingSubject = getSubject();
            if (existingSubject != null) {
                session = existingSubject.getSession(false);
            }
        }
        return session;
    }
	
	protected Session resolveContextSession(SubjectContext context) throws InvalidSessionException {
        SessionKey key = getSessionKey(context);
        if (key != null) {
            return getSession(key);
        }
        return null;
    }
	
	protected SessionKey getSessionKey(SubjectContext context) {
        Serializable sessionId = context.getSessionId();
        if (sessionId != null) {
            return new DefaultSessionKey(sessionId);
        }
        return null;
    }
}


3 resolve principals

和上面类似,创建完后放入subjectContext,以后就直接从中取出。注意,这里有一个getRememberedIdentity。

public class DefaultSecurityManager extends SessionsSecurityManager {

	protected SubjectContext resolvePrincipals(SubjectContext context) {

        PrincipalCollection principals = context.resolvePrincipals();

        if (CollectionUtils.isEmpty(principals)) {
            log.trace("No identity (PrincipalCollection) found in the context.  Looking for a remembered identity.");

            principals = getRememberedIdentity(context);

            if (!CollectionUtils.isEmpty(principals)) {
                log.debug("Found remembered PrincipalCollection.  Adding to the context to be used " +
                        "for subject construction by the SubjectFactory.");

                context.setPrincipals(principals);
            } else {
                log.trace("No remembered identity found.  Returning original context.");
            }
        }
        return context;
    }
}

先从验证信息中取,再从subject中取,最后从session中取。

public class DefaultSubjectContext extends MapContext implements SubjectContext {

	public PrincipalCollection resolvePrincipals() {
        PrincipalCollection principals = getPrincipals();

        if (CollectionUtils.isEmpty(principals)) {
            //check to see if they were just authenticated:
            AuthenticationInfo info = getAuthenticationInfo();
            if (info != null) {
                principals = info.getPrincipals();
            }
        }

        if (CollectionUtils.isEmpty(principals)) {
            Subject subject = getSubject();
            if (subject != null) {
                principals = subject.getPrincipals();
            }
        }

        if (CollectionUtils.isEmpty(principals)) {
            //try the session:
            Session session = resolveSession();
            if (session != null) {
                principals = (PrincipalCollection) session.getAttribute(PRINCIPALS_SESSION_KEY);
            }
        }

        return principals;
    }
}


4 doCreateSubject

在完成对securityManager、session、principals的获取后,真正执行创建的是doCreateSubject。这里采用的是工厂方式。

public class DefaultSecurityManager extends SessionsSecurityManager {
	protected SubjectFactory subjectFactory;

	public DefaultSecurityManager() {
        super();
        this.subjectFactory = new DefaultSubjectFactory();
        this.subjectDAO = new DefaultSubjectDAO();
    }
	
	protected Subject doCreateSubject(SubjectContext context) {
        return getSubjectFactory().createSubject(context);
    }
}

SujectFactory接口只有一个方法createSubject,DefaultSubjectFactory是它的默认实现类。DefaultSubjectFactory还有一个子类DefaultWebSubjectFactory,是用于web环境下的。

public interface SubjectFactory {
	Subject createSubject(SubjectContext context);
}

public class DefaultSubjectFactory implements SubjectFactory {

    public DefaultSubjectFactory() {
    }

    public Subject createSubject(SubjectContext context) {
        SecurityManager securityManager = context.resolveSecurityManager();
        Session session = context.resolveSession();
        boolean sessionCreationEnabled = context.isSessionCreationEnabled();
        PrincipalCollection principals = context.resolvePrincipals();
        boolean authenticated = context.resolveAuthenticated();
        String host = context.resolveHost();

        return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
    }

    @Deprecated
    protected Subject newSubjectInstance(PrincipalCollection principals, boolean authenticated, String host,
                                         Session session, SecurityManager securityManager) {
        return new DelegatingSubject(principals, authenticated, host, session, true, securityManager);
    }

}
public class DefaultWebSubjectFactory extends DefaultSubjectFactory {

    public DefaultWebSubjectFactory() {
        super();
    }

    public Subject createSubject(SubjectContext context) {
        if (!(context instanceof WebSubjectContext)) {
            return super.createSubject(context);
        }
        WebSubjectContext wsc = (WebSubjectContext) context;
        SecurityManager securityManager = wsc.resolveSecurityManager();
        Session session = wsc.resolveSession();
        boolean sessionEnabled = wsc.isSessionCreationEnabled();
        PrincipalCollection principals = wsc.resolvePrincipals();
        boolean authenticated = wsc.resolveAuthenticated();
        String host = wsc.resolveHost();
        ServletRequest request = wsc.resolveServletRequest();
        ServletResponse response = wsc.resolveServletResponse();

        return new WebDelegatingSubject(principals, authenticated, host, session, sessionEnabled,
                request, response, securityManager);
    }

    @Deprecated
    protected Subject newSubjectInstance(PrincipalCollection principals, boolean authenticated,
                                         String host, Session session,
                                         ServletRequest request, ServletResponse response,
                                         SecurityManager securityManager) {
        return new WebDelegatingSubject(principals, authenticated, host, session, true,
                request, response, securityManager);
    }
}


DefaultSubjectFactory在创建subject的时候,实际创建的是一个DelegatingSubject。

public class DelegatingSubject implements Subject {

	public DelegatingSubject(PrincipalCollection principals, boolean authenticated, String host,
                             Session session, boolean sessionCreationEnabled, SecurityManager securityManager) {
        if (securityManager == null) {
            throw new IllegalArgumentException("SecurityManager argument cannot be null.");
        }
        this.securityManager = securityManager;
        this.principals = principals;
        this.authenticated = authenticated;
        this.host = host;
        if (session != null) {
            this.session = decorate(session);
        }
        this.sessionCreationEnabled = sessionCreationEnabled;
    }
}

它有一个子类是WebDelegatingSubject,是用于web环境下的。对应的,DefaultWebSubjectFactory,实际创建的是一个DelegatingWebSubject。可以看到,构造上多了response和request参数。

public class WebDelegatingSubject extends DelegatingSubject implements WebSubject {
	public WebDelegatingSubject(PrincipalCollection principals, boolean authenticated,
								String host, Session session, boolean sessionEnabled,
								ServletRequest request, ServletResponse response,
								SecurityManager securityManager) {
		super(principals, authenticated, host, session, sessionEnabled, securityManager);
		this.servletRequest = request;
		this.servletResponse = response;
	}
}


5 save subject

创建完之后,需要保存subject。最终调用的是subjectDao.save(subject);

public class DefaultSecurityManager extends SessionsSecurityManager {
	protected void save(Subject subject) {
        this.subjectDAO.save(subject);
    }
}

接口SubjectDao有两个方法。

public interface SubjectDAO {
	Subject save(Subject subject);
	void delete(Subject subject);
}


它的默认实现是DefaultSubjectDAO。save方法中,当配置设置为可以保存时,会将subject保存至session。

public class DefaultSubjectDAO implements SubjectDAO {
	public Subject save(Subject subject) {
		if (isSessionStorageEnabled(subject)) {
			saveToSession(subject);
		} else {
			log.trace("Session storage of subject state for Subject [{}] has been disabled: identity and " +
					"authentication state are expected to be initialized on every request or invocation.", subject);
		}

		return subject;
	}
}


至此,create subject功能完成。

6 总结

(1)创建的步骤

  • 拿到subject context。
  • 验证security,不存在则创建,放入contex中。
  • 验证session,不存在则创建,放入context中。
  • 验证principals,放入context中。
  • 通过subjectFactory创建subject。
  • 通过sessionDAO保存到session中。

(2)涉及的重要类

  • SecurityManager,DefaultSecurityManager,DefaultWebSecurityManager。
  • SubjectFactory,DefaultSubjectFactory,DefaultWebSubjectFactory。
  • Subject,Builder,DelegatingSubject,WebDelegatingSubject。
  • SubjectContext,DefaultSubjectContext,DefaultWebSubjectContext。
  • SessionDAO,DefaultSessionDAO。

(3)类图




















liyuhui195134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro.freemarker.ShiroTags已打包
07-17
com.jagregory.shiro.freemarker.ShiroTags 已经打包过的权限标签,可直接使用
Shiro中的Rememberme后出现浏览器500错误
weixin_33979745的博客
05-30 472
问题详述:在Shiro中添加Remember me功能后,只要勾选Remember me选项为true的时候,浏览器就会跳转到一个不可达页面,并且在Chrome中显示HTTP 500错误。 问题追踪: 1. 设置Shiro的日志权限级别为DEBUG log4j设置 # Default Shiro logging log4j.logger.org.apache.shiro=DEBUG ...
SpringBoot整合shiro-用户授权时遇到的问题:java.lang.ClassCastException
两点水
06-14 4078
错误描述:类型转换时提示异常! java.lang.ClassCastException: java.lang.String cannot be cast to com.example.... 调试找到问题原因:下列代码有问题(一脸懵逼,不知因为啥报错) SecurityUtils.getSubject().getPrincipal(); 一开始不知云云,网上面百度了一下,了解到是项目...
shiro权限认证HelleWorld示例(最简单的模拟调用方式)
mischen520的博客
04-27 413
1.创建一个maven工程,只需要最简单的project就可以,idea通过File-New-Project简单创建即可 2.在maven里面配置shiro依赖关系,代码如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
Shiro之学习笔记(三)
MingoRun的博客
09-27 346
   JavaSE环境下实现用户登录认证 1、代码示例: package com.shiro.exercies; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCreden...
shiro_02_身份认证
_Sherlock_
08-18 257
Subject 认证主体 subject就是指当前执行的用户。 Subject 认证主体包含两个信息: Principals:身份,可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份; Credentials:凭证,常见有密码,数字证书等等  身份认证流程 详见文档: Subject表示当前用户,调用.login方法,将凭证交给Security Manager,这个S...
shiro-jar-1.7.0.zip相关资源包
12-24
解决:升級1.7后附件...shiro-cas-1.7.0.jar shiro-core-1.7.0.jar shiro-ehcache-1.7.0.jar shiro-spring-1.7.0.jar shiro-web-1.7.0.jar CustomShiroFilterFactoryBean.java spring-context-shiro.xml 修改说明.txt
shiro连接redis集群 根据org.crazycake.shiro包改造源码
02-06
shiro连接redis集群 根据org.crazycake.shiro包改造而成源码
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro技术大讲堂.rar_highergck_shiro_shiro教程
09-20
shiro使用的详细教程,详尽讲解,并且佐以案例,完全可以掌握!
Shiro学习(三)——关于Subject的创建
sadoshi的专栏
10-10 1094
概述 本文属于源码分析,只想了解Shiro使用的读者请略过。 Subject接口是Shiro中非常重要的接口,客户端通常会使用Subject的方法进行登录、登出、鉴权、角色判断等功能。在《Shiro学习(一)——Shiro配置与快速开始》中,我们就使用了其login接口。Subject的功能似乎非常强大,那么它到底是什么,为什么能做这么多事呢,值得我们分析一下它的来龙去脉。 ...
Shiro源码剖析——Subject的创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 2968
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
Shiro使用和源码分析---5
conansonic的博客
11-10 4062
getSubject分析上一章看完了DefaultWebSecurityManager的构造函数,首先来分析getSubject函数。getSubject定义在AccessControlFilter中。getSubject protected Subject getSubject(ServletRequest request, ServletResponse response) {
Shiro 报错 No SecurityManager accessible(汇总)
热门推荐
紫羽风的博客
01-30 3万+
序 在写这篇文章之前,想了好长时间的题目该写什么,最后考虑到写这篇文章的目的,也就没有再起什么花哨的主题,而是找了这么一个简单粗暴有效的题目,方便有同样问题的童鞋们搜索。 背景 一如往昔,在谈这个问题之前,首先说说问题的背景所在。这个问题是前几天遇到的事,最近设计部给提了不少需求,于是一直在忙着实现这些需求,前几天说要发版,让提供一个新包供测试部进行全面的测试
SpringBoot使用Shiro实现权限验证
默存
10-09 2075
一、Shiro简介 Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject、SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,...
Shiro 权限框架使用总结
guoyiqi
10-17 349
我们首先了解下什么是shiroShiro 是 JAVA 世界中新近出现的权限框架,较之 JAAS 和 Spring Security,Shiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Java Security API; 简单...
shiro学习29-实现rememberMe功能-RememberMeManager
iteye_14612的博客
02-18 3033
这个接口是用来实现rememberme的功能的。他的实现类为AbstractRememberMeManager,是一个抽象类,最终的继承类为cookieRememberMeManager,即将信息发送到cookie中。 先看一下defaultWebSecurityManager的构造方法:   public DefaultWebSecurityManager() { s...
Shiro源码学习之二
编程的本质是数学问题
03-15 2438
3.subject.login try { subject.login(token); } catch (AuthenticationException ae) { logger.info("登录失败!"); return; } login方法 public void lo
java错误集合
magic_ku的专栏
12-28 2015
该错误集合是从网络上搜索到的别人的一些错误处理集合0、 需要标识符a) 不在函数内1、 非法表达式开始b) 可能:丢失括号 .2. no data found a) 可能:setInt(1,100)中,没有100这个值3. 找不到符号a) 可能:没导入包4. 指定了无效URLa) 可能:数据库名或IP错误,即连接出错5. 类路径没有找到a) 可能: ClassNotFoun
class com.ketayao.security.shiro.UsernamePasswordCaptchaToken cannot be cast to class com.ketayao.security.shiro.DingTalkToken (com.ketayao.security.shiro.UsernamePasswordCaptchaToken and com.ketayao.security.shiro.DingTalkToken are in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @1ced8ea)
最新发布
06-10
这个问题可能是因为您在代码中将 `UsernamePasswordCaptchaToken` 对象转换为 `DingTalkToken` 对象,但是这两个类之间没有继承或实现关系,因此不能进行强制类型转换。要解决这个问题,您可以考虑使用适当的方法或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值