Shiro使用和源码分析---7

最新推荐文章于 2022-04-01 09:11:33 发布
最新推荐文章于 2022-04-01 09:11:33 发布
阅读量3.4k 收藏 3
点赞数 3
分类专栏: shiro源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/conansonic/article/details/49833909
版权

Realm相关源码分析

在上一章的分析中提到了Realm的supports函数和getAuthenticationInfo,下面就来看。参照第四章开头的Spring配置,最后得到的是一个AuthorizingRealm。
先看一下AuthorizingRealm的继承关系,

public abstract class AuthorizingRealm extends AuthenticatingRealm
        implements Authorizer, Initializable, PermissionResolverAware, RolePermissionResolverAware
public abstract class AuthenticatingRealm extends CachingRealm implements Initializable
public abstract class CachingRealm implements Realm, Nameable, CacheManagerAware, LogoutAware

AuthorizingRealm

首先看一下AuthorizingRealm的构造函数

    public AuthorizingRealm() {
        this(null, null);
    }
    public AuthorizingRealm(CacheManager cacheManager, CredentialsMatcher matcher) {
        super();
        if (cacheManager != null) setCacheManager(cacheManager);
        if (matcher != null) setCredentialsMatcher(matcher);

        this.authorizationCachingEnabled = true;
        this.permissionResolver = new WildcardPermissionResolver();

        int instanceNumber = INSTANCE_COUNT.getAndIncrement();
        this.authorizationCacheName = getClass().getName() + DEFAULT_AUTHORIZATION_CACHE_SUFFIX;
        if (instanceNumber > 0) {
            this.authorizationCacheName = this.authorizationCacheName + "." + instanceNumber;
        }
    }

AuthorizingRealm主要就构造了一个WildcardPermissionResolver用来解析权限,该构造函数为空函数。
AuthorizingRealm的父类AuthenticatingRealm的构造函数如下所示,

    public AuthenticatingRealm() {
        this(null, new SimpleCredentialsMatcher());
    }
    public AuthenticatingRealm(CacheManager cacheManager, CredentialsMatcher matcher) {
        authenticationTokenClass = UsernamePasswordToken.class;

        this.authenticationCachingEnabled = false;

        int instanceNumber = INSTANCE_COUNT.getAndIncrement();
        this.authenticationCacheName = getClass().getName() + DEFAULT_AUTHORIZATION_CACHE_SUFFIX;
        if (instanceNumber > 0) {
            this.authenticationCacheName = this.authenticationCacheName + "." + instanceNumber;
        }

        if (cacheManager != null) {
            setCacheManager(cacheManager);
        }
        if (matcher != null) {
            setCredentialsMatcher(matcher);
        }
    }

该构造函数也是简单的赋值,这里就不分析了。

createToken

下面先分析一下createToken函数,该函数通过request和response构造一个AuthenticationToken,定义在

    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        String username = getUsername(request);
        String password = getPassword(request);
        return createToken(username, password, request, response);
    }

getUsername和getPassword中就是获得request中的参数,这里的createToken定义在AuthenticatingFilter中,

    protected AuthenticationToken createToken(String username, String password,
                                              ServletRequest request, ServletResponse response) {
        boolean rememberMe = isRememberMe(request);
        String host = getHost(request);
        return createToken(username, password, rememberMe, host);
    }

isRememberMe定义在FormAuthenticationFilter中,

    protected boolean isRememberMe(ServletRequest request) {
        return WebUtils.isTrue(request, getRememberMeParam());
    }

这个createToken定义在AuthenticatingFilter中,

    protected AuthenticationToken createToken(String username, String password,
                                              boolean rememberMe, String host) {
        return new UsernamePasswordToken(username, password, rememberMe, host);
    }

UsernamePasswordToken的构造函数就是简单的赋值。

supports

    public boolean supports(AuthenticationToken token) {
        return token != null && getAuthenticationTokenClass().isAssignableFrom(token.getClass());
    }

getAuthenticationTokenClass返回前面在AuthenticatingRealm构造函数中的UsernamePasswordToken,isAssignableFrom用来判断token是否为UsernamePasswordToken的实例。

getAuthenticationInfo

    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

这里首先调用getCachedAuthenticationInfo从缓存中获取登录信息,如果缓存中没有,就再调用doGetAuthenticationInfo进行验证,假设验证成功,然后调用cacheAuthenticationInfoIfPossible和assertCredentialsMatch。下面一一分析。

getCachedAuthenticationInfo

    private AuthenticationInfo getCachedAuthenticationInfo(AuthenticationToken token) {
        AuthenticationInfo info = null;

        Cache<Object, AuthenticationInfo> cache = getAvailableAuthenticationCache();
        if (cache != null && token != null) {
            log.trace("Attempting to retrieve the AuthenticationInfo from cache.");
            Object key = getAuthenticationCacheKey(token);
            info = cache.get(key);
            if (info == null) {
                log.trace("No AuthorizationInfo found in cache for key [{}]", key);
            } else {
                log.trace("Found cached AuthorizationInfo for key [{}]", key);
            }
        }

        return info;
    }

这里首先获得缓存cache,然后通过getAuthenticationCacheKey计算Key并从缓存中提取登录信息。其实前面默认的构造函数中,该cache为null。getAuthenticationCacheKey通过getPrincipal()获取Key,

    protected Object getAuthenticationCacheKey(AuthenticationToken token) {
        return token != null ? token.getPrincipal() : null;
    }

doGetAuthenticationInfo

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

doGetAuthenticationInfo并未定义,所以在实际项目中必须自定义一个Realm继承自AuthorizingRealm并实现该方法。

cacheAuthenticationInfoIfPossible

    private void cacheAuthenticationInfoIfPossible(AuthenticationToken token, AuthenticationInfo info) {
        if (!isAuthenticationCachingEnabled(token, info)) {
            log.debug("AuthenticationInfo caching is disabled for info [{}].  Submitted token: [{}].", info, token);
            return;
        }

        Cache<Object, AuthenticationInfo> cache = getAvailableAuthenticationCache();
        if (cache != null) {
            Object key = getAuthenticationCacheKey(token);
            cache.put(key, info);
            log.trace("Cached AuthenticationInfo for continued authentication.  key=[{}], value=[{}].", key, info);
        }
    }

该函数就是把刚刚的登录信息添加到缓存中,下次要验证时直接从缓存中提取登录信息。

assertCredentialsMatch

    protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                    "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                    "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

getCredentialsMatcher返回前面在AuthenticatingRealm构造函数中的SimpleCredentialsMatcher,其doCredentialsMatch如下,

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials = getCredentials(token);
        Object accountCredentials = getCredentials(info);
        return equals(tokenCredentials, accountCredentials);
    }

这里就是验证两者credential是否相等啦。

二侠
关注
专栏目录
shiro源码分析----Subject与SubjectContext
weixin_43376918的博客
04-29 527
shiro源码分析----Subject与SubjectContext subejct创建的三种方式: 使用SecurityUtils类在任何地方都可以获取Subject; //入口方法: SecurityUtils.getSubject(); 用户每一次登陆,调用Subject.login(); //Subject.login() //会调用DefaultSecurityManager中的login()方法;会调用createSubject(..); //入口方法; Subject logg
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
Shiro使用源码分析---1
conansonic的博客
11-01 8452
FormAuthenticationFilter使用和原理分析—1网上有很多介绍shiro框架的文章,但是没有讲解shiro如何和web spring框架相结合的文章。由于实际项目的需要,这里首先顺带分析一下shiro中FormAuthenticationFilter的源码。先看一段Spring中applicationContext.xml的配置。 <bean id="shiroFilter"
Shiro源码分析
会写Bug的攻城狮
11-17 576
Shiro源码分析 一、 Token相关类 1)、接口类 package org.apache.shiro.authc; import java.io.Serializable; //AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码) public interface AuthenticationToken extends Serializable { //得到主体subject进行身份认证的标识,标识具有唯一性 Object getPrin
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。...此外,源码分析还能帮助开发者发现潜在的性能瓶颈和优化点,提升应用的安全性和效率。
shiro-rbac-system-master.zip
12-05
Apache Shiro是一个开源安全框架,它简化了Java的安全实现,提供了易于使用的API来处理认证、授权、会话管理和加密等任务。Shiro的核心组件包括: 1. **认证**:验证用户的身份,即确认用户是谁。 2. **授权**:...
shiro-root-1.2.3-source-release源码带注释.rar
03-16
它们解释了类和方法的功能,帮助开发者了解如何使用和扩展框架。 8. **自定义扩展** Shiro的可扩展性是其一大优点。通过实现或扩展其提供的接口,如`Realm`、`SessionDAO`等,开发者可以轻松地定制适合自身应用的...
shirodemo:SpringBoot集成Shiro博客源码-源码
03-24
【标题】"shirodemo:SpringBoot集成Shiro博客源码-源码客" 提供的是一个基于SpringBoot框架并集成了...通过分析和学习这个源码,开发者可以深入理解SpringBoot与Shiro的集成方式,提高在实际项目中的安全防护能力。
shiro+cas实现单点登录 示例代码,送源码分析url
10-20
shiro+cas实现单点登录 示例代码,送源码分析url:http://note.youdao.com/noteshare?id=a83380ee8fc6913162042e865689844e&sub=CD905CCCE4134A159326DC2DFC1AF268
shiro源码解析
xajh_czbk的博客
03-01 309
什么是shiroshiro,安全框架。它的认证,授权,加密和会话管理可以用于保护任何应用程序。 shiro为以下几个方面提供应用程序的安全API(应用程序安全的4大基石): Authentication - 提供用户身份认证,俗称登录 Authorization - 访问权限控制 Cryptography - 使用加密算法保护或者隐藏数据 Session Management - 用户的会话管理 Login 登录时需要进行shiro认证。以自己的项目为例,如下图: 在这个方法里会有shir
Shiro源码解析
qq_31856061的博客
04-01 1395
获取主体、生成认证token Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getUserName(), user.getPassword() ); 进行登录验证 subject.login(usernamePasswordToken); 类:DelegatingSubject 代理主体 里面有 lo
Shiro登录源码分析
Coder_Joker的博客 joke a joker
05-24 524
 登录过程源码分析具体配置不在这里重复了,直接粘主要的ShiroFilterFactoryBean:[java] view plain copy@Bean(name="shiroFilter")  public ShiroFilterFactoryBean shiroFilterFactoryBean()  {      ShiroFilterFactoryBean shiroFilterFact...
Shiro源码分析----授权流程
云原生之家
01-14 1231
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。 Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建
shiro学习三:shiro源码分析
冯安晨
12-24 274
文章目录前言一、问题分析二、 ==源码分析(敲重点)== 前言 shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个) shiro学习二:shiro的加密认证详解,加盐与不加盐两个版本。 上面的 demo 写完,看完之后,还是有很多疑问的,很多问题的。我在这里记录一下,也分析一下源码走向。 一、问题分析 综上案例,进行分析。 其实看了上面那么多案例,是有很多疑问的,那 用户名、密码到底是怎么匹配的,肯定都交给s
Shiro源码解析(持续更新中)
yuhelve3308的博客
09-24 1793
Shiro安全框架学习心得(源码分析) 概述 ​ shiro(http://shiro.apache.org/)是apache公司推出的一款轻量级开源安全框架。它支持身份验证,授权,加密和会话管理。Shiro提供易于理解的API,在项目整合时较为轻松。目前Shiro在国内的软件公司中使用较为广泛,是一个值得学习的框架。 一、基础概念 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
Shiro源码分析(四)——认证流程
MIKE2333的博客
11-21 370
2021SC@SDUSC 一.Demo代码 Shiro认证即为我们平时的“登录”,这篇文章我们来探究一下Shieo登录的底层实现。 import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.shiro.ini.IniSecurityManagerFactory; import org.apache.shiro.lang.util.Factory; import org.apache.sh
Shiro源码解析-登录篇
weixin_30338461的博客
04-16 158
本文以循序渐进的方式解析Shiro整个login过程的处理,读者可以边阅读本文边自己看代码来思考体会,如有问题,欢迎评论区探讨! 笔者shiro的demo源码路径:https://github.com/roostinghawk/ShiroDemo.git 1. 入口:Suject.login (比如Spring一般为LoginController) @PostMappi...
Shiro结合RBAC实现高效权限管理系统源码解析
5. 源码分析(RBAC_Shiro-master) 资源包中的RBAC_Shiro-master文件夹中包含了实现上述功能的源代码。通过分析源码,可以了解到: - 如何使用Shiro的API进行用户认证和授权。 - 如何定义和维护用户、角色和权限的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值