Apache Shiro的登录过程分析

最新推荐文章于 2024-09-28 00:27:49 发布
最新推荐文章于 2024-09-28 00:27:49 发布
阅读量1k 收藏
点赞数
分类专栏: Java 文章标签: Shiro java apache
来源:https://blog.csdn.net/jin5203344/article/details/53174341

关于shiro就不用做过多介绍了,今天主要分析下登录过程


首先我大致画了个流程图(可能不够详细):

第一步:用户登录,根据用户登录名密码生产Token 

  1. UsernamePasswordToken token = new UsernamePasswordToken(username, password);
  2. Subject subject = SecurityUtils.getSubject();
  3. subject.login(token);
这里调用了代理subject的login方法,代码如下:

  1. public void login(AuthenticationToken token) throws AuthenticationException {
  2. clearRunAsIdentitiesInternal();
  3. Subject subject = securityManager.login( this, token);
  5. PrincipalCollection principals;
  7. String host = null;
  9. if (subject instanceof DelegatingSubject) {
  10. DelegatingSubject delegating = (DelegatingSubject) subject;
  11. //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
  12. principals = delegating.principals;
  13. host = delegating.host;
  14. } else {
  15. principals = subject.getPrincipals();
  16. }
  18. if (principals == null || principals.isEmpty()) {
  19. String msg = "Principals returned from securityManager.login( token ) returned a null or " +
  20. "empty value. This value must be non null and populated with one or more elements.";
  21. throw new IllegalStateException(msg);
  22. }
  23. this.principals = principals;
  24. this.authenticated = true;
  25. if (token instanceof HostAuthenticationToken) {
  26. host = ((HostAuthenticationToken) token).getHost();
  27. }
  28. if (host != null) {
  29. this.host = host;
  30. }
  31. Session session = subject.getSession( false);
  32. if (session != null) {
  33. this.session = decorate(session);
  34. } else {
  35. this.session = null;
  36. }
  37. }
可以看到第二行,实际是调用securityManager的login方法

第二步:调用securityManager的login方法 

  1. public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
  2. AuthenticationInfo info;
  3. try {
  4. info = authenticate(token);
  5. } catch (AuthenticationException ae) {
  6. try {
  7. onFailedLogin(token, ae, subject);
  8. } catch (Exception e) {
  9. if (log.isInfoEnabled()) {
  10. log.info( "onFailedLogin method threw an " +
  11. "exception. Logging and propagating original AuthenticationException.", e);
  12. }
  13. }
  14. throw ae; //propagate
  15. }
  17. Subject loggedIn = createSubject(token, info, subject);
  19. onSuccessfulLogin(token, info, loggedIn);
  21. return loggedIn;
  22. }
   第三步:调用securityManager的 authenticate方法 该方法在 其上级类 AuthenticatingSecurityManager中,代码如下:

  1. public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
  2. return this.authenticator.authenticate(token);
  3. }
实际调用了authenticator的authenticate方法,而AuthenticatingSecurityManager的无参构造函数中

  1. public AuthenticatingSecurityManager() {
  2. super();
  3. this.authenticator = new ModularRealmAuthenticator();
  4. }
而ModularRealmAuthenticator类继承了AbstractAuthenticator类

    第四步:调用AbstractAuthenticator的authenticate方法

  1. public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
  3. if (token == null) {
  4. throw new IllegalArgumentException( "Method argumet (authentication token) cannot be null.");
  5. }
  7. log.trace( "Authentication attempt received for token [{}]", token);
  9. AuthenticationInfo info;
  10. try {
  11. info = doAuthenticate(token);
  12. if (info == null) {
  13. String msg = "No account information found for authentication token [" + token + "] by this " +
  14. "Authenticator instance. Please check that it is configured correctly.";
  15. throw new AuthenticationException(msg);
  16. }
  17. } catch (Throwable t) {
  18. AuthenticationException ae = null;
  19. if (t instanceof AuthenticationException) {
  20. ae = (AuthenticationException) t;
  21. }
  22. if (ae == null) {
  23. //Exception thrown was not an expected AuthenticationException. Therefore it is probably a little more
  24. //severe or unexpected. So, wrap in an AuthenticationException, log to warn, and propagate:
  25. String msg = "Authentication failed for token submission [" + token + "]. Possible unexpected " +
  26. "error? (Typical or expected login exceptions should extend from AuthenticationException).";
  27. ae = new AuthenticationException(msg, t);
  28. }
  29. try {
  30. notifyFailure(token, ae);
  31. } catch (Throwable t2) {
  32. if (log.isWarnEnabled()) {
  33. String msg = "Unable to send notification for failed authentication attempt - listener error?. " +
  34. "Please check your AuthenticationListener implementation(s). Logging sending exception " +
  35. "and propagating original AuthenticationException instead...";
  36. log.warn(msg, t2);
  37. }
  38. }
  41. throw ae;
  42. }
  44. log.debug( "Authentication successful for token [{}]. Returned account [{}]", token, info);
  46. notifySuccess(token, info);
  48. return info;
  49. }
看try语句中的 doAuthenticate()方法 则是在其子类ModularRealmAuthenticator中实现,所以

第五步:调用ModularRealmAuthenticator的doAuthenticate方法

  1. protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
  2. assertRealmsConfigured();
  3. Collection<Realm> realms = getRealms();
  4. if (realms.size() == 1) {
  5. return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
  6. } else {
  7. return doMultiRealmAuthentication(realms, authenticationToken);
  8. }
  9. }
第二行获取realms,但我们记得只配置过realm,realms是什么时候赋值的呢,其实很简单  spring对bean属性的赋值是通过反射 实际调用的是set方法,即我们配置了

一个property 为realm的属性  对属性注入的时候调用的setRealm方法

  1. public void setRealm(Realm realm) {
  2. if (realm == null) {
  3. throw new IllegalArgumentException( "Realm argument cannot be null");
  4. }
  5. Collection<Realm> realms = new ArrayList<Realm>( 1);
  6. realms.add(realm);
  7. setRealms(realms);
  8. }
所以这里我们的realms实际就是配置的realm,当然前提是我们只配置了单个

第六步:调用ModularRealmAuthenticator的doSingleRealmAuthentication方法

  1. protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
  2. if (!realm.supports(token)) {
  3. String msg = "Realm [" + realm + "] does not support authentication token [" +
  4. token + "]. Please ensure that the appropriate Realm implementation is " +
  5. "configured correctly or that the realm accepts AuthenticationTokens of this type.";
  6. throw new UnsupportedTokenException(msg);
  7. }
  8. AuthenticationInfo info = realm.getAuthenticationInfo(token);
  9. if (info == null) {
  10. String msg = "Realm [" + realm + "] was unable to find account data for the " +
  11. "submitted AuthenticationToken [" + token + "].";
  12. throw new UnknownAccountException(msg);
  13. }
  14. return info;
  15. }
其中调用了realm自身的getAuthenticationInfo方法

第七步:调用AuthenticatingRealm的getAuthenticationInfo方法

  1. public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  3. AuthenticationInfo info = getCachedAuthenticationInfo(token);
  4. if (info == null) {
  5. //otherwise not cached, perform the lookup:
  6. info = doGetAuthenticationInfo(token);
  7. log.debug( "Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
  8. if (token != null && info != null) {
  9. cacheAuthenticationInfoIfPossible(token, info);
  10. }
  11. } else {
  12. log.debug( "Using cached authentication info [{}] to perform credentials matching.", info);
  13. }
  15. if (info != null) {
  16. assertCredentialsMatch(token, info);
  17. } else {
  18. log.debug( "No AuthenticationInfo found for submitted AuthenticationToken [{}]. Returning null.", token);
  19. }
  21. return info;
  22. }
     第一行代码,通过缓存获取AuthenticationInfo,说到这里正好看看缓存是怎么实现的,同样代码全在这,跟着走就行

 而我们的cacheManager哪来的呢,我们发现在setRealm方法中调用了setRealms

  1. public void setRealms(Collection<Realm> realms) {
  2. if (realms == null) {
  3. throw new IllegalArgumentException( "Realms collection argument cannot be null.");
  4. }
  5. if (realms.isEmpty()) {
  6. throw new IllegalArgumentException( "Realms collection argument cannot be empty.");
  7. }
  8. this.realms = realms;
  9. afterRealmsSet();
  10. }
  12. protected void afterRealmsSet() {
  13. applyCacheManagerToRealms();
  14. applyEventBusToRealms();
  15. }
可以看到在设置完realms以后调用了一个后续处理方法,在afterRealmsSet中 有个调用 applyCacheManagerToRealms方法 ,字面意思也是很好理解 应用缓存管理器

到realms中,而这种方法代码为:

  1. protected void applyCacheManagerToRealms() {
  2. CacheManager cacheManager = getCacheManager();
  3. Collection<Realm> realms = getRealms();
  4. if (cacheManager != null && realms != null && !realms.isEmpty()) {
  5. for (Realm realm : realms) {
  6. if (realm instanceof CacheManagerAware) {
  7. ((CacheManagerAware) realm).setCacheManager(cacheManager);
  8. }
  9. }
  10. }
  11. }
实际就是判断如果cacheManager不为空 就循环realms设置cacheManager

(有点啰嗦,哈哈,自己当时就是这么想的)

在上面getAuthenticationInfo方法中,我们刚才说过第一行是从缓存中取AuthenticationInfo,如果为空

第八步:调用realm的doGetAuthenticationInfo方法

  1. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  2. // TODO Auto-generated method stub
  3. String userName = (String) token.getPrincipal();
  4. //通过token获取用户信息,这里我们一般从数据库中查询
  5. SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, password, getName());
  6. return authenticationInfo;
  7. }
返回AuthenticationInfo,接着下面代码

  1. if (token != null && info != null) {
  2. cacheAuthenticationInfoIfPossible(token, info);
  3. }
判断 如果token与获取到的 AuthenticationInfo都不为空,缓存 AuthenticationInfo信息

关于从缓存中查询AuthenticationInfo以及缓存AuthenticationInfo信息的方法 这里就不作分析了,可以看做对一个map的操作吧

当然到这里还没完,同样在上面方法中,

  1. if (info != null) {
  2. assertCredentialsMatch(token, info);
  3. } else {
  4. log.debug( "No AuthenticationInfo found for submitted AuthenticationToken [{}]. Returning null.", token);
  5. }
如果 AuthenticationInfo不为空 即通过登录用户查询到了对应的信息

第九步:调用assertCredentialsMatch方法

  1. protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
  2. CredentialsMatcher cm = getCredentialsMatcher();
  3. if (cm != null) {
  4. if (!cm.doCredentialsMatch(token, info)) {
  5. //not successful - throw an exception to indicate this:
  6. String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
  7. throw new IncorrectCredentialsException(msg);
  8. }
  9. } else {
  10. throw new AuthenticationException( "A CredentialsMatcher must be configured in order to verify " +
  11. "credentials during authentication. If you do not wish for credentials to be examined, you " +
  12. "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
  13. }
  14. }
第一行获取CredentialsMatcher,如果不为空

第十步:调用CredentialsMatcher的doCredentialsMatch方法,当然CredentialsMatcher我们可以自定义了

第十一步:上面步骤都通过以后回到DefualtSecurityManager的login方法中

	Subject loggedIn = createSubject(token, info, subject);
创建Subject 

  1. protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) {
  2. SubjectContext context = createSubjectContext();
  3. context.setAuthenticated( true);
  4. context.setAuthenticationToken(token);
  5. context.setAuthenticationInfo(info);
  6. if (existing != null) {
  7. context.setSubject(existing);
  8. }
  9. return createSubject(context);
  10. }
接着就是通过SubjectFactory生成subject,这里就不说了,就是从我们查询把我们查询到的用户身份信息关联到对应的subject中
守望星空2018
关注
专栏目录
Apache Shiro实现用户登录功能
wunianisme的博客
05-18 2300
Shiro进行权限控制的四种方式 1.在程序中 通过 Subject 编程方式进行权限控制。 2. 配置 Filter 实现 URL 级别粗粒度权限控制。 3. 配置代理,基于注解实现细粒度权限控制。 4. 在页面中使用 shiro 自定义标签实现 页面显示权限控制。 实现用户登录功能 配置 shiro 的 Filter 实现 URL 级别权限控制 1.配置 web.xml。 <fi...
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 375
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
最权威正解:Submitted credentials for token [xxx]did not match the expected credentials.
LiPengBo666的博客
01-03 6464
最权威正解:Submitted credentials for token [xxx]did not match the expected credentials.
Shiro安全框架
最新发布
qq_35485206的博客
09-28 641
什么是ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但...
shiro登录过程分析
穿拖鞋写程序
06-14 675
转自:http://blog.csdn.net/jin5203344/article/details/53174341 关于shiro就不用做过多介绍了,今天主要分析登录过程 首先我大致画了个流程图(可能不够详细): 第一步:用户登录,根据用户登录名密码生产Token  [java] view plain cop
Shiro 登录
KuloloGulolo的博客
02-01 235
SecurityManager 调用 Realm 的 doGetAuthenticationInfo 方法: Shiro 的 SecurityManager 接收到 AuthenticationToken 对象后,会调用配置的 Realm 的 doGetAuthenticationInfo 方法,传递 AuthenticationToken 给 Realm。在这个方法中,创建了 AuthenticationToken 对象(这里是 Oauth2Token),并将其返回。配置哪些url 不需要经过验证。
SpringBoot整合Shiro实现用户的认证授权
仙女的博客
03-30 642
Apache Shiro 是一个Java的安全框架,不仅可以在JavaSE中使用,还可以在JavaEE中使用。 Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等。 下载地址:http://www.apache.org/dyn/closer.cgi/shiro/1.5.2/shiro-root-1.5.2-source-release.zip Aurhenrication:身份...
Shiro_登陆
weixin_44840242的博客
03-29 570
四大基石:密码学 会话管理 登陆 授权 目录 1.Shiro集成Spring导包 2.Web.xml的配置 3.applicationContext-shiro.xml的配置 4.创建JpaRealm 5.Spring配置文件中引入shiro的配置文件 6.密码设置 1.准备一个加密算法 2.通过算法加密数据库密码 3.添加员工时密码加密 6.准备登陆页面 ...
Shiro550漏洞分析
12-04 306
Shiro550漏洞分析 环境 JDK8 shiro1.2.4 commons-collections-3.2.1 漏洞原理 Shiro安全框架登录时提供记住我功能,当登录时开启记住我功能时返回包会携带一个Cookie字段,键为rememberMe,下次登陆的时候携带返回包的Cookie进行,服务器端会把这个Cookie进行解码后反序列化。 客户端用rememberMe功能时,服务器端会把Cookie数据进行序列化,然后进行AES加密,再Base64编码,最后以rememberMe为键返回给客户端。 当客户
Shiro 550 反序列化漏洞 详细分析+poc编写
热门推荐
god_Zeo的安全博客
09-03 1万+
0x00 前言 shiro反序列化漏洞这个从 shiro 550 开始,在2016年就爆出来, 但是到现在在各种攻防演练中也起到了显著作用 这个漏洞一直都很好用,特别是一些红蓝对抗HW的下边界突破很好用 遂研究一下这个漏洞的成因和分析一下代码 0x01 Shiro 550 漏洞描述 Apache Shiro RememberMe 反序列化导致的命令执行漏洞 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 编号:Shiro-550, CVE-2016-4437
springboot+redis+shiro单点登录,统一异常处理,统一日志
07-10
ShiroApache的一个开源安全框架,提供认证、授权、会话管理和加密等功能。在SSO场景下,Shiro负责用户的权限管理和登录状态维护。通过Shiro的Filter链,我们可以定制登录逻辑,实现用户在各个子系统间的身份共享。...
Shiro实现登录授权功能
09-26
Shiro实现登录授权功能
shiro登录实例
11-13
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载
SpringBoot中Shiro的实现和基本原理分析
qq_42332204的博客
05-17 1372
简述 ​ ShiroApache开发,是一个轻量级的java安全和权限框架。相较SpringSecurity,Shiro的更加简单且与Spring无直接依赖关系,可以搭配其他的java框架进行开发更加灵活。 功能 Shiro功能图示 Authentication 认证功能 对用户进行身份验证,判断用户是否拥有某个具体存在的用户身份。 Authorization 授权功能 授权,对已经认证的用户进行权限验证,判断用户是否拥有权限执行相应的操作。此功能需要在认证以后才能使用。 Sess
2 Apache Shiro 身份认证(登录
又言又语
05-27 3675
2 Apache Shiro 身份认证(登录
Shiro实现登录功能
test253506088的博客
06-24 1202
需要导入的依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> Shiro接管了项目的登录功能,我们只要按照Shiro登录流程走(调用方法)就可以了,下面是Shiro登录功能的简单
使用Shiro 实现登录
m0_67392661的博客
04-28 1249
项目的目录结构 1、login.jsp <script type="text/javascript"> function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); $.ajax({ type: "POST", url: "login",
Shiro - 登陆验证
Yanliang
02-12 362
本文将利用springboot集成shiro进行用户的登陆验证功能的开发实现。 springboot集成shiro需要引入以下依赖 &amp;lt;!-- shiro-spring --&amp;gt; &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.apache.shiro&amp;lt;/groupId&amp;gt; &amp;lt;artifa
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值