1. Subject(主体)通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。
如果使用常见的账号+密码验证:UsernamePasswordToken
Subject subject = SecurityUtils.getSubject();
subject.login(new UsernamePasswordToken(username,password));
当使用login时,实际会调用AuthorizingRealm中的doGetAuthenticationInfo方法。
所以实际doGetAuthenticationInfo方法参数的AuthenticationToken,
(1)可以通过getPrincipal()获取其username,通过getCredentials()获取password,
(2)强转为UsernamePasswordToken,使用getUsername()和getPassword()
也可实现AuthenticationToken重写方法改变返回值。
2.doGetAuthorizationInfo(PrincipalCollection principals)中
可通过principals.getPrimaryPrincipal()获取在认证方法中返回的
SimpleAuthenticationInfo第一个参数principal形成的集合中的第一个数据。
认证方法返回:SimpleAuthenticationInfo(Object principal, Object credentials, String realmName)
剖析SimpleAuthenticationInfo,实例化返回时,做了哪些:
在认证时,将realmName作为key,principal作为值( is/isnot Collection不同对待),
放入SimpleAuthenticationInfo中的PrincipalCollection 中的Map<String,Set> realmPrincipals中。
principal可以放想要通过PrincipalCollection 或者Subject获取到的数据,credentials用于验证跟token的密码是否相同。
所以info的credentials不能放token的credentials,不然就是自己跟自己比较肯定正确。
- SimpleAuthenticationInfo类getPrincipals方法返回的PrincipalCollection跟Subject的getPrincipals方法返回的SimplePrincipalCollection相同
- doGetAuthorizationInfo(PrincipalCollection principals)中的参数 同3
principals = subject.getPrincipals() = SimpleAuthenticationInfo.getPrincipals()
principals.getPrimaryPrincipal()
= SimpleAuthenticationInfo.getPrincipals().getPrimaryPrincipal()
= subject.getPrincipals().getPrimaryPrincipal()
= subject.getPrincipal();
5.实际登陆就是在能通过用户名查询到用户存在的情况下,匹配token的credentials和SimpleAuthenticationInfo的credentials