shiro web 身份、权限验证流程

最新推荐文章于 2023-12-07 10:33:18 发布
最新推荐文章于 2023-12-07 10:33:18 发布
阅读量254 收藏 1
点赞数
文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TheThirdMoon/article/details/129794613
版权
一、身份验证流程(左),权限验证流程(右)
请求
是否登录请求
登录
跳转到登录页
获取用户名密码
是否匹配
创建session和凭证
返回失败信息
将登陆信息写入cookie
请求
验证权限
获取请求需要的权限
是否匹配
调用方法
返回失败信息
二、原理
  1. 组件
组件功能
shiro Filter各种验证流程的入口
Subject代表了登录人,记录session,凭证等相关信息。定义了验证流程所需要的基本的验证方法,每次请求都会创建新的Subject
SecurityManager管理Subject,session等信息,辅助subject实现功能
session类似servlet session,每个登录用户都有唯一一个session相对应
Realm需要开发者实现的部分,通过realm获取权限,角色信息,身份信息
AuthenticationInfo代表了通过realm获取的用于身份验证的信息
AuthorizationInfo代表了通过realm获取的用于权限验证的信息
AuthenticationToken代表了请求的凭证信息
CredentialsMatcher主要用于密码验证
PasswordService用于生成密码和辅助CredentialsMatcher密码验证
AuthenticationStrategy身份验证策略,多个Realm时需要策略来决定身份验证是否通过。类似投票表决
Authenticator身份验证

  1. 组件间关系
    在这里插入图片描述

  2. 身份验证流程相关对象和方法
AbstractShiroFilter.doFilterInternal
FormAuthenticationFilter.onAccessDenied
AuthenticatingFilter.executeLogin
DelegatingSubject.login
DefaultSecurityManager.login
ModularRealmAuthenticator.authenticate
AuthenticatingRealm.getAuthenticationInfo
SimpleCredentialsMatcher.equals
  • AbstractShiroFilter.doFilterInternal)
protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
		    throws ServletException, IOException {

		Throwable t = null;

		try {
		    final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
		    final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
           //每次请求都会创建新的Subject
		    final Subject subject = createSubject(request, response);

		    //将创建的subject绑定到当前线程,并调用FormAuthenticationFilter过滤器
		    subject.execute(new Callable() {
			public Object call() throws Exception {
			    updateSessionLastAccessTime(request, response);
			    executeChain(request, response, chain);
			    return null;
			}
		    });
		} catch (ExecutionException ex) {
		    t = ex.getCause();
		} catch (Throwable throwable) {
		    t = throwable;
		}
 }
  • FormAuthenticationFilter.onAccessDenied)
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //判断是否是登录请求
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }
               //开始登录
                return executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                return true;
            }
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }
            //非登录请求跳转到登录页
            saveRequestAndRedirectToLogin(request, response);
            return false;
        }
}
  • AuthenticatingFilter.executeLogin
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        //获取请求中的用户名、密码
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            //获取线程中绑定的subject
            Subject subject = getSubject(request, response);
            //登录
            subject.login(token);
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
}
  • DelegatingSubject.login
public void login(AuthenticationToken token) throws AuthenticationException {
        //清除当前的身份证明信息
        clearRunAsIdentitiesInternal();
        //登录,返回的subject只是临时的,作用只是把数据传递给当前subject
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //获取身份证明信息
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        //为当前subject设置身份证明信息
        this.principals = principals;
        //为当前subject设置授权
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
           //为当前subject设置host
            this.host = host;
        }
        //获取session信息
        Session session = subject.getSession(false);
        if (session != null) {
             //为当前subject设置session
            this.session = decorate(session);
        } else {
            this.session = null;
        }
}
  • DefaultSecurityManager.login
 public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            //获取用户名、密码,验证用户名、密码
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
}
  • ModularRealmAuthenticator.authenticate
//验证策略选择
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            //一般的用户名、密码验证
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
           //多种策略,默认提供了三种
           //1.全成功则成功 2.至少一个成功则成功 3.首个成功则成功
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
}
//用户名、密码验证
protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        //用户名、密码验证
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
}
  • AuthenticatingRealm.getAuthenticationInfo
public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //调用用户realm获取用户信息,这里也可以进行用户名、密码的验证
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            //通过CredentialsMatcher来验证密码
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
}
  • SimpleCredentialsMatcher.equals
protected boolean equals(Object tokenCredentials, Object accountCredentials) {
        if (log.isDebugEnabled()) {
            log.debug("Performing credentials equality check for tokenCredentials of type [" +
                    tokenCredentials.getClass().getName() + " and accountCredentials of type [" +
                    accountCredentials.getClass().getName() + "]");
        }
        if (isByteSource(tokenCredentials) && isByteSource(accountCredentials)) {
            if (log.isDebugEnabled()) {
                log.debug("Both credentials arguments can be easily converted to byte arrays.  Performing " +
                        "array equals comparison");
            }
            byte[] tokenBytes = toBytes(tokenCredentials);
            byte[] accountBytes = toBytes(accountCredentials);
            return MessageDigest.isEqual(tokenBytes, accountBytes);
        } else {
            //简单验证请求的密码和库里密码是否相等
            return accountCredentials.equals(tokenCredentials);
        }
}
  1. 权限验证流程相关对象和方法
    用到了两个过滤器
    • UserFilter:判断用户是否登录
    • PermissionsAuthorizationFilter:判断用户权限是否匹配
AbstractShiroFilter.doFilterInternal
UserFilter.isAccessAllowed
PermissionsAuthorizationFilter.isAccessAllowed
DelegatingSubject.isPermitted
DefaultSecurityManager.isPermitted
ModularRealmAuthorizer.isPermitted
AuthorizingRealm.isPermitted
  • AbstractShiroFilter.doFilterInternal)
protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
		    throws ServletException, IOException {

		Throwable t = null;

		try {
		    final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
		    final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
           //每次请求都会创建新的Subject
		    final Subject subject = createSubject(request, response);

		    //将创建的subject绑定到当前线程,并调用FormAuthenticationFilter过滤器
		    subject.execute(new Callable() {
			public Object call() throws Exception {
			    updateSessionLastAccessTime(request, response);
			    executeChain(request, response, chain);
			    return null;
			}
		    });
		} catch (ExecutionException ex) {
		    t = ex.getCause();
		} catch (Throwable throwable) {
		    t = throwable;
		}
 }
  • UserFilter.isAccessAllowed
public class UserFilter extends AccessControlFilter {

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        //不拦截登录流程
        if (isLoginRequest(request, response)) {
            return true;
        } else {
            //是否登录
            Subject subject = getSubject(request, response);
            return subject.getPrincipal() != null;
        }
    }
    
}
  • PermissionsAuthorizationFilter.isAccessAllowed
 public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        //配置的权限信息
        String[] perms = (String[]) mappedValue;

        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
             //验证权限
            if (perms.length == 1) {
                if (!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else {
                if (!subject.isPermittedAll(perms)) {
                    isPermitted = false;
                }
            }
        }

        return isPermitted;
}
  • DelegatingSubject.isPermitted
public boolean isPermitted(String permission) {
        //是否有权限信息,有则验证
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
}
  • DefaultSecurityManager.isPermitted
public boolean isPermitted(PrincipalCollection principals, String permissionString) {
        //代理给authorizer验证
        return this.authorizer.isPermitted(principals, permissionString);
}
  • ModularRealmAuthorizer.isPermitted
public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //调用realm验证
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
}
  • AuthorizingRealm.isPermitted
protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
        Collection<Permission> perms = getPermissions(info);
        if (perms != null && !perms.isEmpty()) {
            for (Permission perm : perms) {
                //获取用户的权限和配置的权限进行比较
                if (perm.implies(permission)) {
                    return true;
                }
            }
        }
        return false;
}
三、总结
  1. 权限验证更灵活的方式是使用aop和注解方式
  2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter,
    RolesAuthorizationFilter
WZTTMoon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 780
shiro架构&认证 -Shiro
11、Shiro入门学习
执手天涯@的博客
03-14 287
认证授权加密会话管理与web集成缓存User类UserMapper类static {} /*** 根据用户名返回user对象* @param username 用户名} }UserRealm类// 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
权限认证框架---Shiro
最新发布
qq_60067835的博客
12-07 1056
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证流程
Shiro用户认证和用户授权流程
跨语言,跨平台,跨应用
05-16 7549
有时候觉得‘如约而至’是个多么美好的词,等的很辛苦,却不辜负。——《匿名》 1、引言 传统权限管理使用基于url拦截的权限管理方式,实现起来比较简单,不依赖框架,使用web提供filter就可以实现。但是这种方式存在问题,需要将将所有的url全部配置到xml中起来,有些繁琐,不易维护,url(资源)和权限表示方式不规范。 shiro是apache的一个开源框架,是一个权限管理的框...
安全框架Shiro——Shiro认证、授权流程
Guizy
05-29 1440
一、认证流程 获取当前的Subject, 调用SecurityUtils.getSubject(); 测试当前用户是否已经被认证, 即是否已经登录, 调用Subject的isAuthentication() 若没有被认证, 则把用户名和密码封装为UsernamePasswordToken对象 创建一个表单页面 把请求提交到Controller中 获取用户名和密码 前台执行登录, 调用S...
基于spring boot 2和shiro实现身份验证案例
08-19
也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。 在Spring Boot中整合Shiro有两种不同的方法。方法一是引入依赖包shiro-spring,方法二是引入依赖...
Shiro Realm 权限验证流程和缓存机制.docx
06-28
权限验证流程: 当用户尝试访问受保护的资源时,Shiro 会按照在 Spring Boot 配置中定义 Realm Bean 的顺序进行权限验证。具体步骤如下: 1. **认证流程**:首先,Shiro 会查找用户的凭证(如用户名和密码),这...
vue与shiro结合实现权限按钮
12-15
Shiro中,主要通过Subject、Authenticator、Authorizer等核心组件来处理身份验证、授权和会话管理。授权(Authorization)是判断用户是否有执行某个操作的权限,这正是我们实现按钮权限的关键。我们可以将角色和...
springMVC+shiro实现动态权限验证.zip
07-13
springMVC+shiro实现动态权限验证,实现动态设置用户角色,根据角色来决定哪些url可以访问 抱歉了各位需要修改下配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?> ...
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
权限校验—接口检验
一起加油吧~
08-08 2786
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1811
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程和源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
shiro身份验证授权入门
十五楼亮哥
05-22 7994
一、 介绍:shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org
权限验证框架Shiro使用详解
想作会飞的鱼的博客
06-08 6061
一、简介Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。 它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如CS程序。 可以使
shiro学习和使用实例(3)——鉴权
siqilou的专栏
03-02 4170
账号登陆成功跳转到首页时,我们要对当前账号鉴权,通过判断账号是否具有某项操作的权限,来决定是否对当前登陆账号显示该操作的页面菜单、按钮或链接。当我们加载首页的时候,通过js将页面所有菜单的标识、权限发送到服务端,服务端调用shiro的isPermitted(String permission)从缓存中获取当前账号的权限信息(登陆成功后已将当前账号的最新权限信息放到缓存中了),如果缓存中没有,shiro会远程从数据库中获取。isPermitted(String permission)把从缓存中获取的权限和页面
shiro的具体认证流程
拉格朗日的学习笔记
09-22 1895
以后一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现) package com.baizhi.springboot_shiro.shiro.realms; import com.baizhi.springboot_shiro.entity.Perms; import com.baizhi.springboot_shiro.entity.Role; import com.bai.
Shiro认证过程--源码分析
↓ ↓ ↓ ↓
03-14 5243
Shiro认证过程源码分析这篇文章会根据源码分析一下Shiro实现认证的过程,(不涉及Shiro的Filter对url的处理,只从Subject的login()方法开始分析)注: 配置文件和代码都放在文章最下面准备工作:1.login.jsp: 登录界面,用户在此输入username和password 2.success.jsp: 登录成功的界面3.LoginController: 接收login...
Shiro权限管理】15.Shiro授权流程分析
程序猿之洞
12-03 3680
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇讲解了Shiro授权的相关基础知识,并实验了“roles”拦截器的效果。可惜的是没有给用户 进行授权工作,所以没有验证拥有角色后的权限校验工作。下面就来讲解一下Shiro的授权流程。 之前我们使用过认证的Realm,他是进行登录认证时提供认证数据的关键类,其继承了 AuthenticatingRealm父类,并实
shiro身份认证流程
WeiZhihuiCSDN的博客
09-22 491
身份验证 身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以...
Shiro教程详解:身份验证、授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证、授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值