Shiro源码分析(一)——初始化SecurityManager

最新推荐文章于 2024-07-27 17:56:15 发布
最新推荐文章于 2024-07-27 17:56:15 发布
阅读量703 收藏 3
点赞数 1
分类专栏: Shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIKE2333/article/details/120814837
版权

2021SC@SDUSC

一.Demo代码

Quickstart.java

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.ini.IniSecurityManagerFactory;
import org.apache.shiro.lang.util.Factory;
import org.apache.shiro.mgt.SecurityManager;

public class Quickstart {

    public static void main(String[] args) {
    
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        SecurityUtils.setSecurityManager(securityManager);

        System.exit(0);
    }
}

shiro.ini

[users]
# 用户名:root 密码:secret 角色:admin
root = secret, admin
# 用户名:guest 密码:guest 角色:guest
guest = guest, guest
[roles]
# admin拥有全部权限,用通配符‘*’表示
admin = *

二.抽象工厂模式创建SecurityManager实例

Shiro抽象工厂模式的UML图
从Shiro抽象工厂模式的UML图中可以看到,IniSecurityManagerFactory类继承了IniFactorySupport类。IniFactorySupport类对基于INI配置生成实例的工厂实现提供基本支持,它继承了AbstractFactory类,而AbstractFactory类是Factory接口的实现。

IniSecurityManagerFactory类是基于INI配置创建SecurityManager实例的工厂。IniSecurityManagerFactory类有三个构造方法,分别为无参、接收一个Ini对象、接收一个表示ini文件路径的字符串。demo代码中使用的是下图中第三个构造方法,即传入一个表示ini文件路径的字符串。
在这里插入图片描述
首先分析工厂的构造过程:

Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:myshiro.ini");

向构造方法中传入表示ini文件路径的字符串后,涉及的调用如下:

  1. 调用Ini类的静态方法fromResourcePath(),并将路径传入该方法中。根据给定路径创建一个新的Ini实例,加载ini文件中的数据。资源路径必须是ResourceUtils.getInputStreamForPath方法可解释的值。结果返回一个Ini实例。
    在这里插入图片描述
  2. 调用this()并传入fromResourcePath()返回的Ini对象。此时执行的是本类接收Ini对象作为参数的构造方法,它会使用this()调用本类的无参构造方法,再调用父类IniFactorySupport中的setIni()方法,并将接收到的Ini对象传进去,为父类中的私有Ini类型变量ini赋值。
    在这里插入图片描述在这里插入图片描述
  3. 调用本类无参构造方法时,会调用ReflectionBuilder类的无参构造方法,然后将返回的ReflectionBuilder对象赋值给类中的私有成员变量builder。ReflectionBuilder类是一个对象生成器。使用反射和Apache Commons BeanUtils来构造给定“属性-值”映射的对象。通常,它们来自Shiro INI配置,用于构造或修改SecurityManager、其依赖项和基于web的安全过滤器。
    在这里插入图片描述
  4. IniSecurityManagerFactory类的构造方法执行完毕后,工厂被成功创建。
    在这里插入图片描述
    接下来调用工厂的getInstance()方法,得到SecurityManager对象。
SecurityManager securityManager = factory.getInstance();

getInstance()是IniSecurityManagerFactory的父类AbstractFactory的方法:
在这里插入图片描述

工厂生产的对象类型用泛型T表示,在这个例子中是SecurityManager。在创建实例前,首先通过isSingleton()判断是否为单例模式。若是,则会先判断是否存在这个实例,存在则直接将已有的实例赋值给局部变量instance,不存在再进行创建;否则直接创建一个所需实例。
在这里插入图片描述

在本例中,初始化IniSecurityManagerFactory类时会先初始化其所有父类,因此AbstractFactory的无参构造方法会被执行,将布尔型成员变量singleton赋值为true,表示此为单例模式。此时尚未有SecurityManager实例,因此会调用createInstance()方法进行创建。在AbstractFactory中,createInstance()是一个抽象方法,由其唯一子类IniFactorySupport进行实现。它会根据INI配置一个新的对象实例,其工作方式是解析INI文件,如果不存在,就会通过createDefaultInstance()方法创建并返回一个默认的实例。
在这里插入图片描述
createInstance()的实现方式如下:

  1. 调用本类的resolveIni()方法,通过本类的getIni()方法获取Ini对象,如果对象是null或者空,就会尝试查找并加载默认路径的Ini,都没找到就会返回null。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  2. 通过CollectionUtils.isEmpty()静态方法检测ini对象是否为空。如果为空则调用createDefaultInstance()方法创建默认实例,如果调用后仍没有创建成功,则抛出IllegalStateException异常,表明该类的实现没有在Ini配置类为空或null的情况下返回一个默认的实例,并说明这是Factory接口必须实现的,请检查。ini对象不为空则调用createInstance()方法,并将ini对象传入,没有创建成功则会抛出IllegalStateException异常,表明该类的实现没有通过createInstance(Ini)方法返回构造的实例。
    在Demo中,ini对象不为空,会调用createInstance(Ini)方法创建实例。
  3. 带有参数的createInstance(Ini)方法和createDefaultInstance()方法在IniFactorySupport类中为抽象方法,在子类IniSecurityManagerFactory中实现。
    在这里插入图片描述
    createDefaultInstance()方法会调用DefaultSecurityManager类的无参构造方法,返回一个默认的SecurityManager实例。
    在这里插入图片描述
    createInstance(Ini)方法会先检查传入的Ini对象是否为空,是则抛出NullPointerException,否则继续执行,调用本类的createSecurityManager(Ini)方法,传入Ini对象。在该方法中调用它的重载createSecurityManager(Ini, Section)。
    在这里插入图片描述
    在这里插入图片描述

重载的方法首先会调用createDefaults(Ini, Section),然后调用getReflectionBuilder()获得在初始化这个类时创建好的ReflectionBuilder实例,再调用这个实例的setObjects()方法传入createDefaults(Ini, Section)返回的Map对象。
在createDefaults(Ini, Section)方法中,首先会创建一个LinkedHashMap并将其赋值给局部变量defaults,它可以理解为双向链表和HashMap的结合,实现了有序的迭代。然后调用createDefaultInstance()方法创建一个新的SecurityManager实例,创建完成后将其放入LinkedHashMap中。接着调用shouldImplicitlyCreateRealm(Ini)方法判断ini文件中是否包含账户数据以及是否需要隐式创建的Realm。若需要,则会调用createRealm(Ini)方法根据Ini实例中包含的账户数据创建一个Realm。
在这里插入图片描述
创建成功后则会将Realm的名称和其实例放入LinkedHashMap中。然后调用父类IniFactorySupport的getDefaults()方法获取用“字符串-bean”映射的工厂的默认对象集,工厂可以将这些bean与从INI配置解析的对象结合使用。接下来就是遍历defaultBeans将其全部放入defaults中然后返回,传递给ReflectionBuilder实例的setObjects(Map<String, ?>)方法。
在这里插入图片描述
接着就是调用buildInstances(Section)将各种对象绑定到SecurityManager上
在这里插入图片描述
在这里插入图片描述
然后通过getSecurityManagerBean()方法获取SecurityManager实例,准备对其中的Realm进行配置。
在这里插入图片描述
在这里插入图片描述
再调用isAutoApplyRealms(SecurityManager)判断是否自动应用realm。
由于在shiro.ini中指定了users,前面创建了IniRealm,因此该方法返回的值为true
在这里插入图片描述
然后调用getRealms()方法从objects中将Realm取出来放入集合中,判断集合中是否为空后调用applyRealmsToSecurityManager()将Realm和SecurityManager绑定,完成后返回创建好的SecurityManager。
在这里插入图片描述
时序图
在这里插入图片描述
得到SecurityManager对象后调用SecurityUtils的静态方法setSecurityManager()从而能够在后续代码中使用getSubject()实现。
在这里插入图片描述

MIKE2333
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro认证源码图文解析,吃一堑长一智
2401_83945851的博客
04-03 476
谈到面试,其实说白了就是刷题刷题刷题,天天作死的刷。。。。。为了准备这个“金三银四”的春招,狂刷一个月的题,狂补超多的漏洞知识,像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)66个Java面试知识点架构专题(MySQL,Java,Redis,线程,并发,设计模式,Nginx,Linux,框架,微服务等)+大厂面试题详解(百度,阿里,腾讯,华为,迅雷,网易,中兴,北京中软等)算法刷题(PDF)
shiro源码分析(四)具体的Realm
08-08
在“shiro源码分析(四)具体的Realm”这一主题中,我们将深入探讨Shiro的核心组件——Realm,它是Shiro与应用程序安全数据源交互的桥梁。 Realm在Shiro中的地位至关重要,它负责验证用户身份并执行授权操作。 ...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Shiro源码分析(四)——认证流程
MIKE2333的博客
11-21 348
2021SC@SDUSC 一.Demo代码 Shiro认证即为我们平时的“登录”,这篇文章我们来探究一下Shieo登录的底层实现。 import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.ini.IniSecurityManagerFactory; import org.apache.shiro.lang.util.Factory; import org.apache.sh
Shiro学习(二)——读取配置文件与初始化SecurityManager的过程
sadoshi的专栏
08-22 1209
概述 Shiro最先进行的操作就是读取配置文件和初始化SecurityManager。所以首先得搞清楚这个初始化的过程到底都做了什么,尤其是接口的SecurityManager实现类是什么,以及后面用到的默认realm又是什么。另外通过这个初始化过程,我们还能稍微窥探一下SecurityManager和Realm的架构。 读取配置文件 在Shiro使用的例子中,最开始一般都会调用以下语句: Factory<org.apache.shiro.mgt.SecurityManager>.
Shiro源码分析(八)——获取Session
MIKE2333的博客
12-19 173
2021SC@SDUSC
Shiro源码分析(三)——获取Subject
MIKE2333的博客
11-14 2411
2021SC@SDUSC
shiro源码——login方法源码解读
技术专家
04-14 1329
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subjec.
Shiro源码剖析——Subject的创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 3154
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3396
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro源码分析(六)CredentialsMatcher 的案例分析
08-08
在"Shiro源码分析(六)CredentialsMatcher 的案例分析"这篇博文中,作者深入剖析了Shiro中用于验证用户凭证的`CredentialsMatcher`组件。下面我们将详细探讨这一核心机制及其相关知识点。 1. **CredentialsMatcher...
shiro源码
01-14
- **源码分析**:通过阅读Shiro源码,可以理解其内部的工作机制,包括如何进行身份验证、授权以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro源码中大量运用了设计模式,如工厂模式、代理...
Shiro源码阅读
Mr1ght的博客
11-19 662
一. Session 用户会话 1.1 Session 有状态数据上下文 Session是与单个Subject(用户、守护进程等,该Subject在一段时间内与软件系统交互)相关联的有状态数据上下文。 会话由业务层管理,并可通过其他层访问,而无需绑定到任何给定的客户端技术。 这对Java系统来说是一个巨大的好处,因为到目前为止,唯一可行的会话机制是javax.servlet.http.HttpSession或有状态会话EJB的,它们常常不必要地将应用程序与web或EJB技术耦合在一起。 Session
golang 接口
m0_70982551的博客
07-24 846
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 375
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
Java算法专场】二分查找(下)
最新发布
zhyhgx的博客
07-27 470
本道题是要在一个从0~n-1的数组中找缺失的数,我们可以采用哈希表来解决,但此时时空复杂度达到了O(n),这是一个有序的数组,我们可以采用二分查找来解决,使时间复杂度达到O(logn).我们可以发现,每个数组的下标和其元素是相同的,那么我们可以通过判断下标和元素的大小,来确定缺失值的位置。3.mid=4+(5-4)/2=4,nums[mid]=5
springboot之自动装配
weixin_50153914的博客
07-23 526
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Shiro权限管理详解教程——实践篇
《跟我学Shiro--张开涛》是一本关于Apache Shiro权限管理的实用指南。作者张开涛以简洁易懂的方式讲解了Shiro的核心概念和实战应用,适合希望深入理解并掌握Shiro的开发者阅读。该书共分为12章,涵盖了从Shiro简介、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值