Shiro源码分析-初始化-SecurityManager

最新推荐文章于 2021-10-17 23:54:07 发布
最新推荐文章于 2021-10-17 23:54:07 发布
阅读量390 收藏
点赞数
分类专栏: Shiro源码分析 文章标签: shiro 安全 shiro源码分析 security
开涛的《跟我学Shiro》系列已即将完成,该系列囊括了shiro的绝大部分实用功能,并且在讲解如何用的过程中,也添加了其内部实现的原理。开涛主要以Shiro的使用者为角度,所以其原理部分是穿插在各个章节内的。

源码分析的第一篇以SecurityManager的初始化为题。
根据ini配置文件初始化shiro的代码主要为两段: 

//解析ini文件为Ini对象
Factory<SecurityManager> factory = new IniSecurityManagerFactory(
				"classpath:shiro-config.ini");
//根据Ini对象初始化SecurityManager对象
SecurityManager securityManager = factory.getInstance();

[color=red]
ini文件格式说明请参考:[/color]
[url]http://zh.wikipedia.org/wiki/INI%E6%AA%94%E6%A1%88[/url]
java解析ini的方式也比较多,有兴趣可以参考:
[url]http://my.oschina.net/tinyframework/blog/214309[/url]

[color=red][b]一、Shiro解析ini的步骤如下:[/b][/color]
[color=red]1、org.apache.shiro.config.IniSecurityManagerFactory类构造方法:[/color] 

    public IniSecurityManagerFactory(String iniResourcePath) {
        this(Ini.fromResourcePath(iniResourcePath));
    }

将ini文件解析交给Ini的静态方法fromResourcePath完成。并把解析后的Ini对象设置由自身持有 

    public IniSecurityManagerFactory(Ini config) {
        setIni(config);
    }


[color=red]2、org.apache.shiro.config.Ini类解析逻辑:[/color] 

    public static Ini fromResourcePath(String resourcePath) throws ConfigurationException {
        if (!StringUtils.hasLength(resourcePath)) {
            throw new IllegalArgumentException("Resource Path argument cannot be null or empty.");
        }
        //此处新建Ini对象
        Ini ini = new Ini();
        ini.loadFromPath(resourcePath);
        return ini;
    }

    //根据资源路径获取输入流,交给load方法进行处理
    public void loadFromPath(String resourcePath) throws ConfigurationException {
        InputStream is;
        try {
            is = ResourceUtils.getInputStreamForPath(resourcePath);
        } catch (IOException e) {
            throw new ConfigurationException(e);
        }
        load(is);
    }

ResourceUtils.getInputStreamForPath(resourcePath);这里支持三种获取资源的方式:
[table]
|classpath|shiro-config.ini|从类路径中查找ini配置|
|url|http://....../shiro-config.ini|从指定的url获取ini配置|
|file|D:\shiro-config.ini|从指定的文件路径获取ini配置|
[/table]


[color=red]3、对获取的资源输入流最终交给文本扫描器Scaner,执行过程代码片段:[/color] 

    public void load(Scanner scanner) {

        String sectionName = DEFAULT_SECTION_NAME;
        StringBuilder sectionContent = new StringBuilder();

        while (scanner.hasNextLine()) {

            String rawLine = scanner.nextLine();
            String line = StringUtils.clean(rawLine);
            //此处跳过ini文件格式的注释及空值
            if (line == null || line.startsWith(COMMENT_POUND) || line.startsWith(COMMENT_SEMICOLON)) {
                //skip empty lines and comments:
                continue;
            }
            //此处主要获取section部分,根据[]规则
            String newSectionName = getSectionName(line);
            if (newSectionName != null) {
                //此处代码主要用于构造Section对象,并放进sections集合中
                addSection(sectionName, sectionContent);

                //reset the buffer for the new section:
                sectionContent = new StringBuilder();

                sectionName = newSectionName;

                if (log.isDebugEnabled()) {
                    log.debug("Parsing " + SECTION_PREFIX + sectionName + SECTION_SUFFIX);
                }
            } else {
                //normal line - add it to the existing content buffer:
                sectionContent.append(rawLine).append("\n");
            }
        }

        //finish any remaining buffered content:
        addSection(sectionName, sectionContent);
    }

上段代码主要是组装ini文件中的section。细心的同学会发现Section、Ini都是实现了Map接口。Section持有的LinkedHashMap容器实际上是当前section中的所有键值对,而Ini持有的LinkedHashMap容器实际上是所有section名称与section对象的键值对。
至此,ini文件的解析已经完成,其ini中的内容已全部以map的形式存放在Ini实例中。
至于保存的结果是什么样的呢?以下面的一段配置为例: 

[main]
#authenticator
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
authenticationStrategy=org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy
authenticator.authenticationStrategy=$authenticationStrategy
securityManager.authenticator=$authenticator

Ini的sections属性[key=main,value=Section对象],此Section对象内部的props保存了所有main部分key-value映射。目前都是String类型,实例化在下一步完成的。

[color=red][b]二、由Ini实例构造SecurityManager对象[/b][/color] 

SecurityManager securityManager = factory.getInstance();

IniSecurityManagerFactory的继承关系为:
IniSecurityManagerFactory->IniFactorySupport->AbstractFactory->Factory
这里的getInstance方法由最上级的抽象类:org.apache.shiro.util.AbstractFactory提供,源码如下: 

    //该方法只是用于判断是否单例(默认为单例)
    public T getInstance() {
        T instance;
        if (isSingleton()) {
            if (this.singletonInstance == null) {
                this.singletonInstance = createInstance();
            }
            instance = this.singletonInstance;
        } else {
            instance = createInstance();
        }
        if (instance == null) {
            String msg = "Factory 'createInstance' implementation returned a null object.";
            throw new IllegalStateException(msg);
        }
        return instance;
    }
    //由子类IniFactorySupport创建实例
    protected abstract T createInstance();

IniFactorySupport的createInstance实现如下(省略了无关紧要的日志、判断代码): 

    public T createInstance() {
        //此处获取解析ini文件产生的Ini对象
        Ini ini = resolveIni();
        T instance;
        if (CollectionUtils.isEmpty(ini)) {
            //如果ini为空,则创建默认实例
            instance = createDefaultInstance();
        } else {
            //根据ini对象创建实例
            instance = createInstance(ini);
        }
        return instance;
    }
    protected abstract T createInstance(Ini ini);

    protected abstract T createDefaultInstance();

上面两个抽象方法,则交给实现类IniSecurityManagerFactory完成了。
先阅读createDefaultInstance方法源码 

    protected SecurityManager createDefaultInstance() {
        return new DefaultSecurityManager();
    }

终于在这个不起眼的地方,看到了初始化最核心的接口SecurityManager了。稍微暂停一下,发个SecurityManager的类图:
[img]http://dl2.iteye.com/upload/attachment/0095/6391/5470ab90-8208-382f-9711-a6efadfbab46.png[/img]
由此图可以看出来,SecurityManager继承了三个接口(认证、授权、session管理),认证授权是安全框架最核心的功能,而shiro提供了自身的session管理机制(这也是shiro的一大亮点)。图中除了DefaultSecurityManager,其它所有类都是抽象类,由此可看出,DefaultSecurityManager是作为默认的安全管理器。
再来看new DefaultSecurityManager();做的事情 

    public DefaultSecurityManager() {
        super();
        this.subjectFactory = new DefaultSubjectFactory();
        this.subjectDAO = new DefaultSubjectDAO();
    }

这里暂时不深究每个构造器所做的具体事情。有兴趣的同学,可一直观察DefaultSecurityManager的所有父类构造器的处理逻辑。
[table]
|类名称|构造方法创建的默认对象|
|DefaultSecurityManager|DefaultSubjectFactory,DefaultSubjectDAO|
|SessionsSecurityManager|DefaultSessionManager|
|AuthorizingSecurityManager|ModularRealmAuthorizer|
|AuthenticatingSecurityManager|ModularRealmAuthenticator|
|RealmSecurityManager|无|
|CachingSecurityManager|无|
[/table]
在上面的表格中已经清晰的描述了各个类所设置的默认对象,至于用途后面再讲解。需要注意的是,RealmSecurityManager、CachingSecurityManager并没有设置默认的对象,所以这个是交给开发人员自己配置的。

接下来看createInstance实现细节: 

    protected SecurityManager createInstance(Ini ini) {
        if (CollectionUtils.isEmpty(ini)) {
            throw new NullPointerException("Ini argument cannot be null or empty.");
        }
        //SecurityManager的创建工作交给createSecurityManager方法
        SecurityManager securityManager = createSecurityManager(ini);
        if (securityManager == null) {
            String msg = SecurityManager.class + " instance cannot be null.";
            throw new ConfigurationException(msg);
        }
        return securityManager;
    }

    private SecurityManager createSecurityManager(Ini ini) {
        //单独获取main部分进行初始化
        Ini.Section mainSection = ini.getSection(MAIN_SECTION_NAME);
        if (CollectionUtils.isEmpty(mainSection)) {
            //try the default:
            mainSection = ini.getSection(Ini.DEFAULT_SECTION_NAME);
        }
        return createSecurityManager(ini, mainSection);
    }

    private SecurityManager createSecurityManager(Ini ini, Ini.Section mainSection) {
        //创建DefaultSecurityManager,并且根据ini初始化realm
        Map<String, ?> defaults = createDefaults(ini, mainSection);
        //根据main部分构造对象(包括属性依赖,创建实例等)
        Map<String, ?> objects = buildInstances(mainSection, defaults);
        //从ReflectionBuilder的objects获取SecurityManager实例。ReflectionBuilder负责shiro的所有反射构造实例的工作,并且把实例放在objects的集合中持有。
        SecurityManager securityManager = getSecurityManagerBean();
        //如果显示指定了realm,则不会自动配置realm。
        boolean autoApplyRealms = isAutoApplyRealms(securityManager);

        if (autoApplyRealms) {
            //如果在ini文件中未显示指定realm(即:securityManager.realms=$myRealm1)
            //那么ini配置的所有realm会自动设置(即:realm1=test.Realm1)
            //getRealms方法只是把ini配置的所有实例对象中实现Realm、RealmFactory接口的实例添加到SecurityManager中
            Collection<Realm> realms = getRealms(objects);
            //set them on the SecurityManager
            if (!CollectionUtils.isEmpty(realms)) {
                applyRealmsToSecurityManager(realms, securityManager);
            }
        }

        return securityManager;
    }

    //创建默认的SecurityManager
    protected Map<String, ?> createDefaults(Ini ini, Ini.Section mainSection) {
        Map<String, Object> defaults = new LinkedHashMap<String, Object>();
        //这里还是先创建了DefaultSecurityManager
        SecurityManager securityManager = createDefaultInstance();
        defaults.put(SECURITY_MANAGER_NAME, securityManager);
        //判断ini是否配置了roles、users
        if (shouldImplicitlyCreateRealm(ini)) {
            //如果配置了roles或users,则创建IniRealm
            Realm realm = createRealm(ini);
            if (realm != null) {
                defaults.put(INI_REALM_NAME, realm);
            }
        }

        return defaults;
    }
    //对main部分配置的所有类型、属性进行实例化,并设置依赖,放到objects集合中
    private Map<String, ?> buildInstances(Ini.Section section, Map<String, ?> defaults) {
        this.builder = new ReflectionBuilder(defaults);
        return this.builder.buildObjects(section);
    }


再看看ReflectionBuilder如何对main进行实例化及依赖的设置: 

    public Map<String, ?> buildObjects(Map<String, String> kvPairs) {
        if (kvPairs != null && !kvPairs.isEmpty()) {
            //实例配置集合
            Map<String, String> instanceMap = new LinkedHashMap<String, String>();
            //属性依赖配置集合
            Map<String, String> propertyMap = new LinkedHashMap<String, String>();

            for (Map.Entry<String, String> entry : kvPairs.entrySet()) {
                //如果ini配置的key包括.号,或者以.class后缀的名称,则认为类型配置
                if (entry.getKey().indexOf('.') < 0 || entry.getKey().endsWith(".class")) {
                    instanceMap.put(entry.getKey(), entry.getValue());
                //其它情况,则认为是属性依赖配置
                } else {
                    propertyMap.put(entry.getKey(), entry.getValue());
                }
            }

            // Create all instances
            for (Map.Entry<String, String> entry : instanceMap.entrySet()) {
                //实例化每个类型
                createNewInstance((Map<String, Object>) objects, entry.getKey(), entry.getValue());
            }

            // Set all properties
            for (Map.Entry<String, String> entry : propertyMap.entrySet()) {
                //配置所有的依赖。必须有个先后顺序,先实例化再设置依赖
                applyProperty(entry.getKey(), entry.getValue(), objects);
            }
        }

        //SHIRO-413: init method must be called for constructed objects that are Initializable
        //如果配置的类型实现了Initializable接口,则调用其init方法
        LifecycleUtils.init(objects.values());

        return objects;
    }


SecurityManager的初始化部分已经完成。
Dead_Knight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
标题提到的"shiro-attack-4.7.0-SNAPSHOT-all.zip"很可能是针对Apache Shiro安全测试工具或者漏洞利用工具包,其主要目的是帮助开发者检测和防范Shiro框架相关的安全问题。 描述中的"序列化验证工具"可能是指该...
Shiro源码分析(一)——初始化SecurityManager
MIKE2333的博客
10-17 703
一.Demo代码 Quickstart.java import org.apache.shiro.SecurityUtils; import org.apache.shiro.ini.IniSecurityManagerFactory; import org.apache.shiro.lang.util.Factory; import org.apache.shiro.mgt.SecurityManager; public class Quickstart { public static voi
Shiro学习(二)——读取配置文件与初始化SecurityManager的过程
sadoshi的专栏
08-22 1210
概述 Shiro最先进行的操作就是读取配置文件和初始化SecurityManager。所以首先得搞清楚这个初始化的过程到底都做了什么,尤其是接口的SecurityManager实现类是什么,以及后面用到的默认realm又是什么。另外通过这个初始化过程,我们还能稍微窥探一下SecurityManager和Realm的架构。 读取配置文件 在Shiro使用的例子中,最开始一般都会调用以下语句: Factory<org.apache.shiro.mgt.SecurityManager>.
shiro-core包引用的版本问题
weixin_30670965的博客
03-13 1302
在做shiro学习时,遇到这样的问题: Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory at org.apache.commons.beanutils.ConvertUtilsBean.<init>(ConvertUtilsBean.jav...
shiro1.4.1之简单应用程序实现
我与风来
07-10 801
官方所提供的demo 没有什么问题,本身也很简单,能够拉下来直接运行。 可问题就在于 IniSecurityManagerFactory类被标记为过时,并且推荐使用Environment; 那么,问题来了,如何使用 Environment呢? 入手点还是在过时的这个类,发现里面通过 ini 配置文件,生成了 SecurityManager对象以及Realm 对象,如果你之前有对 shiro...
shiro的隐含变量以及穷人的注入方式(shiro.ini 的解析1)
ycd19880511的专栏
01-21 160
1.shiro有哪些隐含变量可以在shiro.ini里面直接使用呢。 2.shiro.ini的[main]结构里的语句是怎么解析的?   首先看第一点:找到 IniSecurityManagerFactory 这个类,这是一个ini安全管理创建工厂,处理ini的逻辑都在这里。首先按照语句 public static void main(String[] args) throws Int...
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
Apache Shiro V1.2 Factory与SecurityManager及其子类的关系
管子(zero)的杂乱空间
07-22 273
一、Apache Shiro简介 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证(AuthentiCation) - 用户身份识别和验证; 授权(AuthoriZation) - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何的应用,Apache Shiro 都可以提供全面...
Apache Shiro源码解读之SecurityManager的创建
weixin_33910137的博客
03-13 704
对于Shiro(v1.2+)的SecurityManager的创建,在普通的应用程序中一般可以在main方法中这么创建 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager = factory.get...
Apache Shiro学习笔记(二)身份验证获取SecurityManager
weixin_34293059的博客
07-21 220
鲁春利的工作笔记,好记性不如烂笔头1、Shiro配置文件(first-shiro.ini)[users] lucl=123 wang=1232、单元测试类@Test publicvoidtestLoginWithNoGivenRealm(){ //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager ...
Shiro身份认证流程,securityManager源码解析
汪小哥
12-16 9304
http://shiro.apache.org/tutorial.html 跟着教程学习如何验证你的身份,先是简单的身份验证 shiro.ini[users] zhang=123 wang=123重点内容 @Test public void testHelloworld() { //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityMa
Shiro (一) 上下文环境初始化
北风之神的博客
08-03 3457
1. 初始化过程的类图2. 初始化过程2.1 首先需要在web.xml中专门负责接入shiro的filter: <!-- shiro 安全过滤器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterPro
安全认证框架Shiro (一)- ini配置文件
热门推荐
陈袁的博客
04-22 1万+
我不是语言的开发者,我只是它的搬运工。每进步一点,5年之后你也是个人物 为什么看网上的例子都喜欢用ini格式文件,为什么不用.propertes或xml。 我们来看看一个ini格式文件text.ini: [main] activeDirectoryRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm activ
shiro 获取SecurityManager的方法
qq_36938933的博客
01-15 6106
1.shiro核心对象SecurityManager。 获取该对象的两种方法: //通过工厂模式获取 //读取ini数据源文件,获取securityManager工厂 Factory factory=new IniSecurityManagerFactory("classpath:jdbc_realm.ini"); //获取securityManager
shiro_securityManager的注入
maqingbin8888的专栏
10-12 1680
@Bean @ConditionalOnMissingBean DefaultWebSecurityManager securityManager(AuthRealm authRealm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager....
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-Starter,你可以轻松地配置和使用 Shiro,无需繁琐的手动配置。 该起步依赖提供了一些默认的配置,同时也允许你根据自己的需求进行自定义配置。它还提供了一些自动配置的功能,如自动注入 Shiro 的核心组件和自动注册 Shiro 的过滤器链等。 使用 Shiro-Spring-Boot-Starter,你只需要添加相应的依赖到你的项目中,并进行一些简单的配置,即可快速搭建一个安全可靠的应用程序。你可以在你的代码中使用 Shiro 的注解和 API 来进行身份认证和授权操作。 总之,Shiro-Spring-Boot-Starter 是一个方便的工具,可以简化 Shiro 在 Spring Boot 中的集成和配置过程,帮助你快速构建安全的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值