Shiro登录源码分析

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量490 收藏 1
点赞数 1
分类专栏: Shiro 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Coder_Joker/article/details/80432854
版权

 登录过程源码分析

具体配置不在这里重复了,直接粘主要的ShiroFilterFactoryBean:

[java]  view plain  copy
  1. @Bean(name="shiroFilter")  
  2. public ShiroFilterFactoryBean shiroFilterFactoryBean()  
  3. {  
  4.     ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();  
  5.     shiroFilterFactoryBean.setSecurityManager(securityManager());  
  6.     shiroFilterFactoryBean.setLoginUrl("/login");  
  7.     shiroFilterFactoryBean.setUnauthorizedUrl("/404");  
  8.     Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();  
  9.     filters.put("authc", formAuthenticationFilter());  
  10.     Map<String, String> definitionMap = shiroFilterFactoryBean.getFilterChainDefinitionMap();  
  11.     definitionMap.put("/test""anon");  
  12.     definitionMap.put("/404""anon");  
  13.     definitionMap.put("/order/**""authc");  
  14.     definitionMap.put("/login""authc");  
  15.     return shiroFilterFactoryBean;  
  16. }          

 1-1            

关于definitionMap中的value,应该经常见到authc,shiro内部中的key=authc对应的Filter就是FormAuthenticationFilter,这里只是为了讲述,因而重复定义:

    当我们第一次访问受限资源的时候:shiro会调用onAccessDenied方法:

[java]  view plain  copy
  1. protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {  
[java]  view plain  copy
  1.         //1.首先判断是否是login请求(既是否点击了登录这个按钮)  
  2.         if (isLoginRequest(request, response)) {  
  3.             if (isLoginSubmission(request, response)) {  
  4.                 if (log.isTraceEnabled()) {  
  5.                     log.trace("Login submission detected.  Attempting to execute login.");  
  6.                 }  
  7.                 return executeLogin(request, response);  
  8.             } else {  
  9.                 if (log.isTraceEnabled()) {  
  10.                     log.trace("Login page view.");  
  11.                 }  
  12.                 //allow them to see the login page ;)  
  13.                 return true;  
  14.             }  
  15.         } else {  
[java]  view plain  copy
  1.             //如果不是的话,则跳转到登录页面,并且返回false,提示用户尚未登录(accessDenied)  
  2.             if (log.isTraceEnabled()) {  
  3.                 log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +  
  4.                         "Authentication url [" + getLoginUrl() + "]");  
  5.             }  
  6.             saveRequestAndRedirectToLogin(request, response);  
  7.             return false;  
  8.         }  
  9.     }                     

1-2

这个结果会一层一层往上传,shiro有一堆filter链

到了登录页面之后,注意这里的action要为""哦,当然设置其他的也行,不过就需要在shiroFilterFactoryBean中多添加一个definitionMap了,

理由如下:

    当我们输入好了需要提交的username和password之后,点击登录之后,因为action是""所以这个表单会提交到之前请求的url上,既(/login),因为我们已经在上述配置中配置了这个url请求拦截的filter,所以又会如1-2图所示,进入filter,然后会进行是否是Login请求判断:

[java]  view plain  copy
  1. protected boolean isLoginRequest(ServletRequest request, ServletResponse response) {  
  2.         return pathsMatch(getLoginUrl(), request);  
  3.     }  
[java]  view plain  copy
  1. protected boolean pathsMatch(String path, ServletRequest request) {  
  2.       String requestURI = getPathWithinApplication(request);  
  3.       log.trace("Attempting to match pattern '{}' with current requestURI '{}'...", path, requestURI);  
  4.       return pathsMatch(path, requestURI);  
  5.   }  

pathMatch是PatternMatcher的实现类,他有两个实现类:通配符matcher:AntPathMatcher以及正则实现类:RegExPatternMatcher   具体实现不在这里论述

是登录请求之后,call executeLogin :

[java]  view plain  copy
  1. protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {  
  2.       AuthenticationToken token = createToken(request, response);  
  3.       if (token == null) {  
  4.           String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +  
  5.                   "must be created in order to execute a login attempt.";  
  6.           throw new IllegalStateException(msg);  
  7.       }  
  8.       try {  
  9.           Subject subject = getSubject(request, response);  
  10.           subject.login(token);  
  11.           return onLoginSuccess(token, subject, request, response);  
  12.       } catch (AuthenticationException e) {  
  13.           return onLoginFailure(token, e, request, response);  
  14.       }  
  15.   }  

    首先先生成token:FormAuthenticationFilter 的createToken的最终方法是返回UsernamePasswordToken

[java]  view plain  copy
  1. protected AuthenticationToken createToken(String username, String password,  
  2.                                           boolean rememberMe, String host) {  
  3.     return new UsernamePasswordToken(username, password, rememberMe, host);  
  4. }  

然后获取subject(用户,或者第三方),call login 

subject会将任务委托给SecurityManager:

[java]  view plain  copy
  1. public void login(AuthenticationToken token) throws AuthenticationException {  
  2.        clearRunAsIdentitiesInternal();  //如字面翻译即可  
  3.        Subject subject = securityManager.login(this, token);  
  4.   
  5.        PrincipalCollection principals;  
  6.   
  7.        String host = null;  
  8.   
  9.        if (subject instanceof DelegatingSubject) {  
  10.            DelegatingSubject delegating = (DelegatingSubject) subject;  
  11.            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:  
  12.            principals = delegating.principals;  
  13.            host = delegating.host;  
  14.        } else {  
  15.            principals = subject.getPrincipals();  
  16.        }  
  17.   
  18.        if (principals == null || principals.isEmpty()) {  
  19.            String msg = "Principals returned from securityManager.login( token ) returned a null or " +  
  20.                    "empty value.  This value must be non null and populated with one or more elements.";  
  21.            throw new IllegalStateException(msg);  
  22.        }  
  23.        this.principals = principals;  
  24.        this.authenticated = true;  
  25.        if (token instanceof HostAuthenticationToken) {  
  26.            host = ((HostAuthenticationToken) token).getHost();  
  27.        }  
  28.        if (host != null) {  
  29.            this.host = host;  
  30.        }  
  31.        Session session = subject.getSession(false);  
  32.        if (session != null) {  
  33.            this.session = decorate(session);  
  34.        } else {  
  35.            this.session = null;  
  36.        }  
  37.    }  

SecurityManager又会将任务委托给旗下的Realms:

[java]  view plain  copy
  1. public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {  
  2.        AuthenticationInfo info;  
  3.        try {  
  4.            info = authenticate(token); //将任务委托给旗下的Realms   
  5.        } catch (AuthenticationException ae) {  
  6.            try {  
  7.                onFailedLogin(token, ae, subject);  
  8.            } catch (Exception e) {  
  9.                if (log.isInfoEnabled()) {  
  10.                    log.info("onFailedLogin method threw an " +  
  11.                            "exception.  Logging and propagating original AuthenticationException.", e);  
  12.                }  
  13.            }  
  14.            throw ae; //propagate  
  15.        }  
  16.   
  17.        Subject loggedIn = createSubject(token, info, subject);  
  18.   
  19.        onSuccessfulLogin(token, info, loggedIn);  
  20.   
  21.        return loggedIn;  
  22.    }  

Realm又是如何处理的呢:

    在我的配置中SecurityManager只配置了一个Realm,have a look:

[java]  view plain  copy
  1. public class MyLoginRealm extends AuthorizingRealm  
  2. {  
[java]  view plain  copy
  1.         //这个方法最好用上缓冲,不然每次鉴权都会去call this function  
  2.     @Override  
  3.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)  
  4.     {  
  5.         System.out.println("调用了MyLoginRealm的授权方法");  
  6.         SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();  
  7.         authorizationInfo.addRole("admin");  
  8.         authorizationInfo.addStringPermission("user:update");  
  9.         return authorizationInfo;  
  10.     }  
  11.     @Override  
  12.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException  
  13.     {  
  14.         System.out.println("调用了realm的登录验证的方法");  
  15.         return new SimpleAuthenticationInfo(token.getPrincipal(), token.getCredentials(), this.getName());  
  16.     }  
  17. }  

doGetAuthenticationinfo顾名思义,身份验证,返回Autheneticationinfo的子类,这个子类会被提交到上一层AuthenticatingRealm

[java]  view plain  copy
  1. public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  2.   
  3.         AuthenticationInfo info = getCachedAuthenticationInfo(token);  
  4.         if (info == null) {  
  5.             //otherwise not cached, perform the lookup:  
  6.             info = doGetAuthenticationInfo(token);//获取Realm返回的结果  
  7.             log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);  
  8.             if (token != null && info != null) {  
  9.                 cacheAuthenticationInfoIfPossible(token, info);//尝试将信息缓存(配置中开启这个开关)  
  10.             }  
  11.         } else {  
  12.             log.debug("Using cached authentication info [{}] to perform credentials matching.", info);  
  13.         }  
  14.   
  15.         if (info != null) {  
  16.             assertCredentialsMatch(token, info);//进行最终校验  
  17.         } else {  
  18.             log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);  
  19.         }  
  20.   
  21.         return info;//返回给上层  
  22.     }  

将结果返回给上层:ModularRealmAuthenticator,,这个Autenticator会通过Realm的个数选择不同的执行方式

[java]  view plain  copy
  1. protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {  
  2.        if (!realm.supports(token)) {  
  3.            String msg = "Realm [" + realm + "] does not support authentication token [" +  
  4.                    token + "].  Please ensure that the appropriate Realm implementation is " +  
  5.                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";  
  6.            throw new UnsupportedTokenException(msg);  
  7.        }  
  8.        AuthenticationInfo info = realm.getAuthenticationInfo(token);//在这里返回结果  
  9.        if (info == null) {  
  10.            String msg = "Realm [" + realm + "] was unable to find account data for the " +  
  11.                    "submitted AuthenticationToken [" + token + "].";  
  12.            throw new UnknownAccountException(msg);  
  13.        }  
  14.        return info;  
  15.    }  
[java]  view plain  copy
  1. protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {  
  2.      assertRealmsConfigured();  
  3.      Collection<Realm> realms = getRealms();  
  4.      if (realms.size() == 1) {  
  5.          return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken); //因为只有1个Realm,所以执行的是这个方法  
  6.      } else {  
  7.          return doMultiRealmAuthentication(realms, authenticationToken);  
  8.      }  
  9.  }  

之后又将结果传给上层:AbstractAuthenticator 

[java]  view plain  copy
  1. public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {  
  2.   
  3.         if (token == null) {  
  4.             throw new IllegalArgumentException("Method argument (authentication token) cannot be null.");  
  5.         }  
  6.   
  7.         log.trace("Authentication attempt received for token [{}]", token);  
  8.   
  9.         AuthenticationInfo info;  
  10.         try {  
  11.             info = doAuthenticate(token);  
  12.             if (info == null) {  
  13.                 String msg = "No account information found for authentication token [" + token + "] by this " +  
  14.                         "Authenticator instance.  Please check that it is configured correctly.";  
  15.                 throw new AuthenticationException(msg);  
  16.             }  
  17.         } catch (Throwable t) {  
  18.             AuthenticationException ae = null;  
  19.             if (t instanceof AuthenticationException) {  
  20.                 ae = (AuthenticationException) t;  
  21.             }  
  22.             if (ae == null) {  
  23.                 //Exception thrown was not an expected AuthenticationException.  Therefore it is probably a little more  
  24.                 //severe or unexpected.  So, wrap in an AuthenticationException, log to warn, and propagate:  
  25.                 String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " +  
  26.                         "error? (Typical or expected login exceptions should extend from AuthenticationException).";  
  27.                 ae = new AuthenticationException(msg, t);  
  28.                 if (log.isWarnEnabled())  
  29.                     log.warn(msg, t);  
  30.             }  
  31.             try {  
  32.                 notifyFailure(token, ae);  
  33.             } catch (Throwable t2) {  
  34.                 if (log.isWarnEnabled()) {  
  35.                     String msg = "Unable to send notification for failed authentication attempt - listener error?.  " +  
  36.                             "Please check your AuthenticationListener implementation(s).  Logging sending exception " +  
  37.                             "and propagating original AuthenticationException instead...";  
  38.                     log.warn(msg, t2);  
  39.                 }  
  40.             }  
  41.   
  42.   
  43.             throw ae;  
  44.         }  
  45.   
  46.         log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);  
  47.   
  48.         notifySuccess(token, info); //如果配置了listener,则循环执行所有的相关listener  
  49.   
  50.         return info;  
  51.     }  

传传传  

至于如何自定义呢:记住Shiro的核心是SecurityManager,因而要自定义基本离不开他

这里引用下开涛哥的讲解:Authorizer ,自定义的时候参考ModularRealmAuthorizer 




PS:在这里延伸一点:我们可以自行配置Shiro从哪个表单属性中作为username或者password:如下所示,这样我们的表单页面中用户的账户对应的name属性更改为test_username 密码则改为test_password

[java]  view plain  copy
  1.         @Bean  
  2.     public FormAuthenticationFilter formAuthenticationFilter()  
  3.     {  
  4.         FormAuthenticationFilter filter = new FormAuthenticationFilter();  
  5.         filter.setLoginUrl("/login");  
  6.         filter.setUsernameParam("test_username");  
  7.         filter.setPasswordParam("test_password");  
  8.         return filter;  
  9.     }  
Coder_Joker
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro源码
01-14
- **源码分析**:通过阅读Shiro源码,可以理解其内部的工作机制,包括如何进行身份验证、授权以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro源码中大量运用了设计模式,如工厂模式、代理...
Shiro免密登录
xxfamly的博客
06-21 1万+
目录 1.千篇一律 2.点睛之笔 所做项目与第三方合作,系统间存在接口调用,需要做授权登录。我们的项目整体使用SSM框架,认证登陆采用了shiro框架,密码在数据库中经过盐值(salt)+Md5加密,外部无法获知密码明文,导致无法验证通过,所以想到了免密登录的方式解决。 在网上查阅了一些贴子,套路基本一样,照搬了全部代码,发现在强转AuthenticationToken为自定义Tok...
shiro框架之扩展增加短信随机码认证
lvjingang的博客
12-18 295
闲暇功夫想起来2年前的一场面试,当时对shiro算是刚刚入门,大佬问道怎么在shiro基础上增加短信随机码认证?当时确实不知道在怎么做,今天给大家说下如何扩展shiro. 默认大家对shiro的应用是熟悉的,我们直接看登录认证方法,前台收到用户名,密码后封装到UsernamePasswordToken中,然后调用Subject.login方法,将UsernameP...
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 448
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1809
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1884
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5010
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro+cas实现单点登录 示例代码,送源码分析url
10-20
shiro+cas实现单点登录 示例代码,送源码分析url:http://note.youdao.com/noteshare?id=a83380ee8fc6913162042e865689844e&sub=CD905CCCE4134A159326DC2DFC1AF268
shiro学习源码与资料
02-24
2. **案例分析**:通过具体的场景,演示如何使用Shiro实现登录、权限控制等功能。 3. **最佳实践**:提供在实际项目中使用Shiro时的一些最佳实践和注意事项,帮助避免常见问题。 4. **实战教程**:可能包含一系列...
shiro jar包及源码下载
10-09
shiro权限验证jar包及源码 shiro-1.3.2jar包及源码下载
ShiroShiro登录验证失败问题
sebeefe的博客
04-28 604
shiro登录验证一直失败: 原因: 在用户注册时,采用如下加密方法: /** * md5加密工具 * @param var * 要加密的字符串 * @param iterations * 加密次数 * @return */ public static String encrypt(String var,int iterations){ return new SimpleHash("md5",var,SALT.getBytes(),iterations).toHex(); } 在Sh
理解这9大内置过滤器,才算是精通Shiro
MarkerHub的博客
05-12 315
小Hub领读:权限框架一般都是一堆过滤器、拦截器的组合运用,在shiro中,有多少个内置的过滤器你知道吗?在哪些场景用那些过滤器,这篇文章希望你能对shiro有个新的认识!别忘了,点个 ...
springboot整合Shiro实现权限控制框架(结合renrenfast分析
qq_1149513559的博客
06-24 1425
Shiro是一个优秀的权限控制安全框架,核心在于认证和授权 认证:你是谁? 授权:你能做什么? 下面结合码云上的renren-fast源码分析Shiro在springboot项目中作为权限控制框架的应用。 1.引入shiro依赖 两种选择其一即可 <-- 第一种:shiro核心依赖2个 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-c
SpringBoot 使用Shiro权限框架自定义拦截器检查token失效
热门推荐
Langeldep的专栏
11-09 1万+
  创建一个类,继承自UserFilter,实现OnAccessDenied函数即可。 package io.tenglu.modules.sys.shiro; import org.apache.shiro.web.filter.authc.UserFilter; import org.apache.shiro.web.servlet.ShiroHttpServletRequest; ...
createToken()
ljm_lijingming的专栏
02-25 1312
public static string createToken() { Random ro = new Random(10); long tick = DateTime.Now.Ticks; Random ran = new Random((int)(tick & 0xffffffffL) | (i...
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3394
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
shiro springboot 源码
07-13
总的来说,阅读Shiro Spring Boot源码有助于我们深入理解Shiro和Spring Boot的工作原理和机制,提升对应用程序的安全性和性能的把握,进而能更好地开发和调优应用程序。 ### 回答3: Shiro是一个强大的身份认证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值