Shiro使用和源码分析---4

最新推荐文章于 2023-04-17 09:29:03 发布
最新推荐文章于 2023-04-17 09:29:03 发布
阅读量3.8k 收藏 3
点赞数 1
分类专栏: shiro源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/conansonic/article/details/49623631
版权

DefaultWebSecurityManager源码分析

在上一篇的分析中使用了三个有关Subject的函数,getSubject、login、isAuthenticated,这里就来分析它们的源码。
本章首先开始研究shiro框架的SecurityManager,这里以web项目为例,分析DefaultWebSecurityManager。为了方便后面的分析,这里首先看一下Spring中的配置,

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="testRealm"/>
    </bean>
    <bean id="testRealm" class="org.apache.shiro.realm.AuthorizingRealm">
    </bean>

下面先看一下DefaultWebSecurityManager的父类和接口。

public class DefaultWebSecurityManager extends DefaultSecurityManager implements WebSecurityManager
public class DefaultSecurityManager extends SessionsSecurityManager
public abstract class SessionsSecurityManager extends AuthorizingSecurityManager
public abstract class AuthorizingSecurityManager extends AuthenticatingSecurityManager
public abstract class AuthenticatingSecurityManager extends RealmSecurityManager
public abstract class RealmSecurityManager extends CachingSecurityManager
public abstract class CachingSecurityManager implements SecurityManager, Destroyable, CacheManagerAware

这里,简单从字面意思上看,CachingSecurityManager和缓存有关,RealmSecurityManager和Realm有关,Realm简单理解就是和数据存储有关的一个东东,AuthenticatingSecurityManager和验证有关,AuthorizingSecurityManager和授权有关,SessionsSecurityManager就是和Session有关啦,后面都会分析道。

DefaultWebSecurityManager构造函数

DefaultWebSecurityManager的构造函数会层层调用到最上层的构造函数,因此,本文从最后的构造函数开始分析,CachingSecurityManager的构造函数为空函数,RealmSecurityManager的构造函数也是空函数,再看AuthenticatingSecurityManager的构造函数,代码如下

    public AuthenticatingSecurityManager() {
        super();
        this.authenticator = new ModularRealmAuthenticator();
    }

ModularRealmAuthenticator和验证有关,其构造函数如下

    public ModularRealmAuthenticator() {
        this.authenticationStrategy = new AtLeastOneSuccessfulStrategy();
    }

AtLeastOneSuccessfulStrategy就是一些验证的规则,其构造函数为空函数。再看AuthorizingSecurityManager的构造函数,

    public AuthorizingSecurityManager() {
        super();
        this.authorizer = new ModularRealmAuthorizer();
    }

ModularRealmAuthorizer的构造函数也为空函数。再看SessionsSecurityManager的构造函数,

    public SessionsSecurityManager() {
        super();
        this.sessionManager = new DefaultSessionManager();
        applyCacheManagerToSessionManager();
    }

applyCacheManagerToSessionManager就是进一步设置DefaultSessionManager,不往下看了。
DefaultSessionManager的构造函数如下

    public DefaultSessionManager() {
        this.deleteInvalidSessions = true;
        this.sessionFactory = new SimpleSessionFactory();
        this.sessionDAO = new MemorySessionDAO();
    }

SimpleSessionFactory的构造函数为空函数。MemorySessionDAO的构造函数如下

    public MemorySessionDAO() {
        this.sessions = new ConcurrentHashMap<Serializable, Session>();
    }

DefaultSecurityManager的构造函数如下

    public DefaultSecurityManager() {
        super();
        this.subjectFactory = new DefaultSubjectFactory();
        this.subjectDAO = new DefaultSubjectDAO();
    }

DefaultSubjectFactory用来构造Subject,其构造函数为空函数。DefaultSubjectDAO的构造函数如下

    public DefaultSubjectDAO() {
        this.sessionStorageEvaluator = new DefaultSessionStorageEvaluator();
    }

DefaultSessionStorageEvaluator的构造函数也为空函数。
最后看DefaultWebSecurityManager的构造函数,代码如下

    public DefaultWebSecurityManager(Collection<Realm> realms) {
        this();
        setRealms(realms);
    }

这是其中一个DefaultWebSecurityManager的构造函数,this为无参的构造函数,代码如下

    public DefaultWebSecurityManager() {
        super();
        ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
        this.sessionMode = HTTP_SESSION_MODE;
        setSubjectFactory(new DefaultWebSubjectFactory());
        setRememberMeManager(new CookieRememberMeManager());
        setSessionManager(new ServletContainerSessionManager());
    }

subjectDAO为前面构造的DefaultSubjectDAO,其setSessionStorageEvaluator函数只是简单的赋值。DefaultWebSessionStorageEvaluator的构造函数为空函数。
DefaultWebSubjectFactory的构造函数为空函数,不去管它,setSubjectFactory也是简单的赋值。
CookieRememberMeManager的构造函数如下

    public CookieRememberMeManager() {
        Cookie cookie = new SimpleCookie(DEFAULT_REMEMBER_ME_COOKIE_NAME);
        cookie.setHttpOnly(true);
        cookie.setMaxAge(Cookie.ONE_YEAR);
        this.cookie = cookie;
    }

这里构造了一个名称为rememberMe的SimpleCookie,其构造函数很简单,不去看它。然后设置该Cookie只支持http的连接,并且设置该Cookie的有效期为一年。setRememberMeManager也为简单的赋值,不去管它。ServletContainerSessionManager的构造函数为空函数,setSessionManager也基本上是直接赋值(里面调用了一些Cache相关的管理类),这里不管它。

setRealms

回头再看DefaultWebSecurityManager的构造函数,setRealms定义在RealmSecurityManager中,代码如下

    public void setRealms(Collection<Realm> realms) {
        if (realms == null) {
            throw new IllegalArgumentException("Realms collection argument cannot be null.");
        }
        if (realms.isEmpty()) {
            throw new IllegalArgumentException("Realms collection argument cannot be empty.");
        }
        this.realms = realms;
        afterRealmsSet();
    }

这里就是简单的赋值,然后调用afterRealmsSet函数,定义在AuthorizingSecurityManager中,

    protected void afterRealmsSet() {
        super.afterRealmsSet();
        if (this.authorizer instanceof ModularRealmAuthorizer) {
            ((ModularRealmAuthorizer) this.authorizer).setRealms(getRealms());
        }
    }

这里的authorizer确实是类ModularRealmAuthorizer的实例(看前面AuthorizingSecurityManager的构造函数),因此将realms设置进去,setRealms只是简单的赋值,不往下看了。
AuthorizingSecurityManager继承自AuthenticatingSecurityManager,因此接着看AuthenticatingSecurityManager的afterRealmsSet函数,

    protected void afterRealmsSet() {
        super.afterRealmsSet();
        if (this.authenticator instanceof ModularRealmAuthenticator) {
            ((ModularRealmAuthenticator) this.authenticator).setRealms(getRealms());
        }
    }

这里的authenticator 确实实例化了ModularRealmAuthenticator,因此类似,设置realms。AuthenticatingSecurityManager继承自RealmSecurityManager,因此继续看RealmSecurityManager的afterRealmsSet函数,

    protected void afterRealmsSet() {
        applyCacheManagerToRealms();
    }
    protected void applyCacheManagerToRealms() {
        CacheManager cacheManager = getCacheManager();
        Collection<Realm> realms = getRealms();
        if (cacheManager != null && realms != null && !realms.isEmpty()) {
            for (Realm realm : realms) {
                if (realm instanceof CacheManagerAware) {
                    ((CacheManagerAware) realm).setCacheManager(cacheManager);
                }
            }
        }
    }

getCacheManager这里返回null,所以这里就不会往下继续执行了。
总结一下,本章主要介绍了DefaultWebSecurityManager的构造函数,以及它父类的一些构造函数,简而言之,都是一些基本的实例化然后赋值。另外DefaultWebSecurityManager构造函数中还会设置Realms,和数据存取有关。后面的分析中,都会逐渐用到这些类以及变量,这里有个大概的印象就行了。

二侠
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
java8集合分析-memobook:备忘录
06-04
集合分析 开发基础 设计模式 配套代码: 算法与数据结构 配套代码: 配套代码: http DevOps git gitlab maven docker 详细安装过程 框架 Spring Mybatis SpringMVC SpringBoot Spring Security Shiro Swagger-...
DefaultWebSecurityManager类
热门推荐
iteye_10899的博客
11-08 1万+
DefaultWebSecurityManager类主要定义了设置subjectDao,获取会话模式,设置会话模式,设置会话管理器,是否是http会话模式等操作,它继承了DefaultSecurityManager类,实现了WebSecurityManager接口,现对其解析如下: 1.WebSecurityManager接口 可以参考WebSecurityManager接口码解析,里面...
【SpringBoot已解决】SpringBoot整合shiro,DefaultWebSecurityManager和DefaultSecurityManager使用不当出现报错
weixin_60387745的博客
02-28 827
Unable to start web server; nested exception is org.springframework.boot.web.server.WebServerException Error creating bean with name 'getShiroFilterFactoryBean' defined in class path resource The security manager does not implement the WebSecurityManager
java安全框架之shiro的入门
长草颜团子
09-15 672
java流行的权限管理框架目前主要有两款,且都是出身名门,shiro是大名鼎鼎的Apache软件提供商下的,而spring security是spring全家桶成员的一员,都是安全类框架,主要对比如下可以自行查阅其他资料,这里主要说一句就是:shiro和spring security既然都存在,都在企业级应用中大量使用,显然就是选择的不同,根绝业务需求选择了即可,过多对比不再本博客赘述,请自行查阅相关资料. 官网:http://shiro.apache.org/ 什么是权限管理 基本上涉...
springboot框架学习
m0_45209551的博客
05-21 641
1.为什么要使用springSecurity 在web开发中,安全占据第一位置 我们可以通过一些简单的安全策略,例如过滤器,拦截器保证安全 虽然我们可以通过拦截器,过滤器来完成需求,但是会有大量的原生代码,冗余而通过SpringSecurity,我们只需要进行简单的调用,便可实现无数复杂的功能 项目中所涉及的安全性问题 功能权限 访问权限 菜单权限 市面上比较知名的安全的框架 shiro SpringSecurity 2.认识SpringSecurity Spring Security 是针
shiro安全框架
小欧的博客
05-23 219
shiro学习 shiro中的第一个程序用户认证 //1.创建安全管理器对象 DefaultSecurityManager securityManager=new DefaultSecurityManager(); //2.给安全管理器设置realm securityManager.setRealm(new IniRealm("classpath:shiro.ini")); //3.SecurityUtils 给全局安全工具类设置安全管理
java8集合分析-Awesome-Java:真棒-Java
06-04
集合分析 Java 笔记 Java 语言相关的API,第三方库和计算机基础理论等知识的学习和整理 更多 : | | 目录 资 详细目录 Java语言和JDK码 Java语言的基础理论知识 并发编程 Java并发编程相关的内容,并发包码...
Shiro 视频教程+码+课件
08-29
Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术...
shiro分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Shiro原理及分析
lipengyao2010的专栏
07-16 1772
安全管理器的创建是依赖于认证、授权,缓存、数据等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Springboot整合Shiro
zhouquanshidai的博客
03-29 165
ShiroShiroShiro核心组件 Shiro 是一款主流的 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是对访问系统的用户进行身份认证、授权、会话管理、加密等操作。 Shiro 就是用来解决安全管理的系统化框架 Shiro核心组件 用户,角色,权限 会给角色赋予权限,给用户赋予角色 用户拥有角色,角色拥有权限,用户不跟权限直接挂钩 UsernamePasswordToken,Shiro用来封装用户登录信息,使用户的登录信息来创建令牌Tok
shiro缓存管理
你就像甜甜的益达
01-05 857
文章目录shiro缓存现象如果我设置了缓存:缓存分析shiro提供的基于内存的CacheManager基于Ehcache的缓存基于Redis的缓存 shiro缓存现象 shiro缓存主要就是换成用户的授权信息,就是将我们的自定义realm的doGetAuthorizationInfo方法就是给用户授权的方法进行缓存. 如果不使用缓存,那么每次进行用户权限判断的时候就会调用一下授权方法: 我请求...
DefaultWebSessionManager DefaultSessionManager DefaultWebSecurityManager SessionsSecurityManager
weixin_34112030的博客
01-31 2290
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println("------------------------------------doGetAuthenticationInfo...
SpringBoot整合shiro安全框架实现登录及权限管理
aloneTK的博客
09-25 289
SpringBoot整合shiro安全框架实现登录及权限管理 这里用了MD5加密 ShiroConfig @Configuration public class ShiroConfig { //ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defau
springboot整合shiro
dhyway的博客
04-11 260
第一步导包: <!-- 整合shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.9.0</version> </depende
Shiro安全框架简介
weixin_45934981的博客
04-17 1344
Shiro默认实用的是simpleCredentialsMatcher中的doCredentialsMatcher方法,这个方法使用的是equals的方式进行比较密码。调用subject中的isPermittedAll方法,参数为可变长参数(可以传一个或者多个)【如果是多个,那么这个主体需要拥有参数里面所有的权限字符串才能访问】在doGetAuthenticationInfo方法中获取用户的身份信息,然后校验是否和数据库中的一致。Shiro不依赖于WEB,即使是一个测试程序也能够使用Shiro中的功能。
shiro认证-SSM
hao_dream_xi的博客
10-13 155
Shiro认证 Pom依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> ...
springboot使用shiro和pac4j-cas 实现cas单点登录
hsp1990的专栏
11-20 3801
前言: 之前项目使用springmvc开发的cas client,由于以后新项目需要改用springboot开发,所以需要使用springboot来实现cas的单点登录、并完成对自定义需求的实现;之前使用shiro-cas,官方在1.3版本已经标注了过时,根据推荐使用了pac4j-cas来实现; 文章目录 一、集成shiro-spring也pac4j-cas,完成基本的cas单点登录功能; ...
shiro-redis-spring-boot-starter
最新发布
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值