本文介绍了Apache Shiro框架的Filter重写,重点讲解了FormAuthenticationFilter在Web应用程序中的作用,包括认证过程、登录成功与失败的处理逻辑。此外,还讨论了Shiro的Session管理和Cache管理,特别是如何在Realm中使用缓存进行授权,并提到了在集群环境中使用分布式缓存如memcached来管理session的可能性。
shiro的了解 (2014-11-06 15:13:14)
标签: 股票 分类: java
shiro学习:
大体功能是认证、授权、加密、会话管理
一、SecurityManager
所有基于web的应用程序都是用 DefaultWebSecurityManager进行管理,它主要提供如下方面的功能
Authentication(认证)
1、web应用FormAuthenticationFilter拦截器
在web应用中认证是通过FormAuthenticationFilter拦截器来实现的
分析对应源代码:
整个拦截器的执行方法是在AdviceFilter.doFilterInternal进行封装
它调用下面三个方法:
boolean continueChain = preHandle(request, response); //是否继续执行后续拦截器链操作
if (continueChain) {
executeChain(request, response, chain);//继续执行拦截器后面的操作
}
postHandle(request, response);//拦截器执行完后的操作
preHandle调用
onPreHandle(request, response, pathConfig)
{
return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}
isAccessAllowed(request, response, mappedValue)//是否允许访问
在AuthenticatingFilter.isAccessAllowed中进行了如下实现:
Subject subject = getSubject(request, response);
return subject.isAuthenticated() || (!isLoginRequest(request, response) && isPermissive(mappedValue));
//只要当前用户已经过认证就直接返回true,
如果isAccessAllowed返回false,则系统执行onAccessDenied
FormAuthenticationFilter.onAccessDenied实现对应的方法
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
if (isLoginRequest(request, response)) //判断请求是否是登录请求
{
if (isLoginSubmission(request, response)) //判断请求是否是post方法
{
if (log.isTraceEnabled()) {
log.trace("Login submission detected. Attempting to execute login.");
}
return executeLogin(request, response);//执行登录验证
} else //如果是get方法则会返回true,跳转到登陆页面
{
if (log.isTraceEnabled()) {
log.trace("Login page view.");
}
//allow them to see the login page ;)
return true;
}
}
//如果访问的是非登录页面,则跳转到登录页面
else {
if (log.isTraceEnabled()) {
log.trace("Attempting to access a path which requires authentication. Forwarding to the " +
"Authentication url [" + getLoginUrl() + "]");
}
saveRequestAndRedirectToLogin(request, response);
return false;
}
}
//executeLogin执行真正的登录操作
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
AuthenticationToken token = createToken(request, response); //创建用户的身份、凭证
if (token == null) {
String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
"must be created in order to execute a login attempt.";
throw new IllegalStateException(msg);
}
try {
Subject subject = getSubject(request, response);
subject.login(token); //执行shiro的登录操作
return onLoginSuccess(token, subject, request, response);//登录成功
} catch (AuthenticationException e) {
return onLoginFailure(token, e, request, response);//登录失败
}
}
在FormAuthenticationFilter中登录成功和登录失败的具体实现
protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,
ServletRequest request, ServletResponse response) throws Exception {
issueSuccessRedirect(request, response); //直接重定向到成功页面
//we handled the success redirect directly, prevent the chain from continuing:
return false; //不再执行过滤器链后面的操作
}
protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e,
ServletRequest request, ServletResponse response) {
setFailureAttribute(request, e); //登录失败,设置异常信息继续执行过滤器链后面的操作
//login failed, let request continue back to the login page:
return true;
}
SessionManager(session管理)
DefaultWebSecurityManager-->sessionManager
有下面几种具体的实现
1、ServletContainerSessionManager(默认)
ServletContainerSessionManager使用web容器提供的session进行管理,所以默认使用DefaultWebSecurityManager管理session和直接使用web容器的session
是没有区别的
ServletContainerSessionManager管理的session对象是org.apache.shiro.web.session.HttpServletSession,该对象代理封装了对javax.servlet.http.HttpSession的操作
2、DefaultWebSessionManager
该session管理器默认指定的sessionDAO = new MemorySessionDAO();
它是基于当前内存来进行管理session,没有使用web容器的session;该中方式在集群环境时会出现问题,比如在同一session中访问不同的机器,则可能某些机器存在session值,有些不存在
除非web server配置成ip_hosts
可以通过该sessionManager来实现通过分布式缓存进行多台机器的session共享,可以采用如下配置
CacheManage(缓存管理)
Realm中使用缓存
在Realm中有2个使用缓存的地方
1、认证缓存
首先判断getAuthenticationCache()是否为空,如果未设置则判断authenticationCachingEnabled=true&&cachingEnabled=true如果都为true
则通过设置的cacheManager中取出name=authenticationCacheName的缓存
也就是说要想使用认证缓存,则在Realm中有2种方式设置
一种是通过设置cacheManager
然后设置 authenticationCacheName(认证缓存名)authenticationCachingEnabled=true、cachingEnabled=true
或者直接设置
public void setAuthenticationCache(Cache authenticationCache)
2、授权缓存
首先判断getAuthorizationCache()如果未设置则判断authorizationCachingEnabled=true&&cachingEnabled=true如果都为true
则通过设置的cacheManager中取出name=authorizationCacheName的缓存
也就是说要想使用授权缓存,则在Realm中有2种方式设置
一种是通过设置cacheManager
然后设置 authorizationCacheName(授权缓存名)、authorizationCachingEnabled=true、cachingEnabled=true
或者直接设置
public void setAuthorizationCache(Cache authorizationCache)
上面有很多变量值需要设置,Realm默认情况下
authorizationCachingEnabled=true(是否可授权缓存)
authenticationCachingEnabled=false(是否可认证缓存)
cachingEnabled=true(是否可缓存)
目前认证缓存功能使用不了,当缓存时序列化时对应的对象无法序列化;而且一般也不要使用认证缓存,避免修改密码无法及时生效
授权缓存可以在session期间有效,session过期后重新取授权
SessionManager中使用缓存
在这里使用缓存的目的主要是管理系统session的缓存,比如系统如果想使用memcached来管理session就可以在这里配置
标签: 股票 分类: java
shiro学习:
大体功能是认证、授权、加密、会话管理
一、SecurityManager
所有基于web的应用程序都是用 DefaultWebSecurityManager进行管理,它主要提供如下方面的功能
Authentication(认证)
1、web应用FormAuthenticationFilter拦截器
在web应用中认证是通过FormAuthenticationFilter拦截器来实现的
分析对应源代码:
整个拦截器的执行方法是在AdviceFilter.doFilterInternal进行封装
它调用下面三个方法:
boolean continueChain = preHandle(request, response); //是否继续执行后续拦截器链操作
if (continueChain) {
executeChain(request, response, chain);//继续执行拦截器后面的操作
}
postHandle(request, response);//拦截器执行完后的操作
preHandle调用
onPreHandle(request, response, pathConfig)
{
return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}
isAccessAllowed(request, response, mappedValue)//是否允许访问
在AuthenticatingFilter.isAccessAllowed中进行了如下实现:
Subject subject = getSubject(request, response);
return subject.isAuthenticated() || (!isLoginRequest(request, response) && isPermissive(mappedValue));
//只要当前用户已经过认证就直接返回true,
如果isAccessAllowed返回false,则系统执行onAccessDenied
FormAuthenticationFilter.onAccessDenied实现对应的方法
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
if (isLoginRequest(request, response)) //判断请求是否是登录请求
{
if (isLoginSubmission(request, response)) //判断请求是否是post方法
{
if (log.isTraceEnabled()) {
log.trace("Login submission detected. Attempting to execute login.");
}
return executeLogin(request, response);//执行登录验证
} else //如果是get方法则会返回true,跳转到登陆页面
{
if (log.isTraceEnabled()) {
log.trace("Login page view.");
}
//allow them to see the login page ;)
return true;
}
}
//如果访问的是非登录页面,则跳转到登录页面
else {
if (log.isTraceEnabled()) {
log.trace("Attempting to access a path which requires authentication. Forwarding to the " +
"Authentication url [" + getLoginUrl() + "]");
}
saveRequestAndRedirectToLogin(request, response);
return false;
}
}
//executeLogin执行真正的登录操作
protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
AuthenticationToken token = createToken(request, response); //创建用户的身份、凭证
if (token == null) {
String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
"must be created in order to execute a login attempt.";
throw new IllegalStateException(msg);
}
try {
Subject subject = getSubject(request, response);
subject.login(token); //执行shiro的登录操作
return onLoginSuccess(token, subject, request, response);//登录成功
} catch (AuthenticationException e) {
return onLoginFailure(token, e, request, response);//登录失败
}
}
在FormAuthenticationFilter中登录成功和登录失败的具体实现
protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,
ServletRequest request, ServletResponse response) throws Exception {
issueSuccessRedirect(request, response); //直接重定向到成功页面
//we handled the success redirect directly, prevent the chain from continuing:
return false; //不再执行过滤器链后面的操作
}
protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e,
ServletRequest request, ServletResponse response) {
setFailureAttribute(request, e); //登录失败,设置异常信息继续执行过滤器链后面的操作
//login failed, let request continue back to the login page:
return true;
}
SessionManager(session管理)
DefaultWebSecurityManager-->sessionManager
有下面几种具体的实现
1、ServletContainerSessionManager(默认)
ServletContainerSessionManager使用web容器提供的session进行管理,所以默认使用DefaultWebSecurityManager管理session和直接使用web容器的session
是没有区别的
ServletContainerSessionManager管理的session对象是org.apache.shiro.web.session.HttpServletSession,该对象代理封装了对javax.servlet.http.HttpSession的操作
2、DefaultWebSessionManager
该session管理器默认指定的sessionDAO = new MemorySessionDAO();
它是基于当前内存来进行管理session,没有使用web容器的session;该中方式在集群环境时会出现问题,比如在同一session中访问不同的机器,则可能某些机器存在session值,有些不存在
除非web server配置成ip_hosts
可以通过该sessionManager来实现通过分布式缓存进行多台机器的session共享,可以采用如下配置
CacheManage(缓存管理)
Realm中使用缓存
在Realm中有2个使用缓存的地方
1、认证缓存
首先判断getAuthenticationCache()是否为空,如果未设置则判断authenticationCachingEnabled=true&&cachingEnabled=true如果都为true
则通过设置的cacheManager中取出name=authenticationCacheName的缓存
也就是说要想使用认证缓存,则在Realm中有2种方式设置
一种是通过设置cacheManager
然后设置 authenticationCacheName(认证缓存名)authenticationCachingEnabled=true、cachingEnabled=true
或者直接设置
public void setAuthenticationCache(Cache authenticationCache)
2、授权缓存
首先判断getAuthorizationCache()如果未设置则判断authorizationCachingEnabled=true&&cachingEnabled=true如果都为true
则通过设置的cacheManager中取出name=authorizationCacheName的缓存
也就是说要想使用授权缓存,则在Realm中有2种方式设置
一种是通过设置cacheManager
然后设置 authorizationCacheName(授权缓存名)、authorizationCachingEnabled=true、cachingEnabled=true
或者直接设置
public void setAuthorizationCache(Cache authorizationCache)
上面有很多变量值需要设置,Realm默认情况下
authorizationCachingEnabled=true(是否可授权缓存)
authenticationCachingEnabled=false(是否可认证缓存)
cachingEnabled=true(是否可缓存)
目前认证缓存功能使用不了,当缓存时序列化时对应的对象无法序列化;而且一般也不要使用认证缓存,避免修改密码无法及时生效
授权缓存可以在session期间有效,session过期后重新取授权
SessionManager中使用缓存
在这里使用缓存的目的主要是管理系统session的缓存,比如系统如果想使用memcached来管理session就可以在这里配置
668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
