【Shior学习】subject和session

最新推荐文章于 2021-08-13 01:08:12 发布
最新推荐文章于 2021-08-13 01:08:12 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: Shiro 文章标签: shiro subject session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fxkcsdn/article/details/103505348
版权

前一篇已经介绍过了shiroFilter(shiro的入口点,所有请求都会经该过滤器,然后找到对应的过滤器处理请求。)

// AbstractShiroFilter.doFilterInternal
protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {
 
        Throwable t = null;
 
        try {
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
 			// 注意这里会创建Subject对象,从而引出今天的主题Subject
            final Subject subject = createSubject(request, response);
 
            //noinspection unchecked
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    // 重点:执行代理过滤器链
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } 
        ...//省略代码,不影响阅读
    }
 
protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain)
            throws IOException, ServletException {
        // 使用FilterChainResolver来获取代理过滤器链
        FilterChain chain = getExecutionChain(request, response, origChain);
        // 执行代理过滤器链,由上一篇可知,会先执行shiro的过滤器链,然后执行原过滤器链
        chain.doFilter(request, response);
}

请注意上面的代码中有这么一行,是用来创建Subject对象的。

final Subject subject = createSubject(request, response);

那么Subject在shiro框架中到底代表了什么?

Subject和Session的关系又是什么呢?

带着这两个疑问,我们逐一揭开其神秘面纱!

首先来看Subject的默认实现类DelegatingSubject

//Subject的默认实现类
public class DelegatingSubject implements Subject {

    private static final Logger log = LoggerFactory.getLogger(DelegatingSubject.class);

    private static final String RUN_AS_PRINCIPALS_SESSION_KEY =
            DelegatingSubject.class.getName() + ".RUN_AS_PRINCIPALS_SESSION_KEY";

    protected PrincipalCollection principals;//当前用户
    protected boolean authenticated;//是否登陆认证过
    protected String host;//主机地址
    protected Session session;//Session引用
    /**
     * @since 1.2
     */
    protected boolean sessionCreationEnabled;
    protected transient SecurityManager securityManager;

由上可知Subject内部维护了当前登陆的用户,是否登陆认证成功,当前主机地址和Session的引用。

接下来我们看一下Subject创建的过程:

//AbstractShiroFilter.createSubject
protected WebSubject createSubject(ServletRequest request, ServletResponse response) {
	return new WebSubject.Builder(getSecurityManager(), request, response).buildWebSubject();
}

``WebSubject继承了Subject,而WebSubject.BuilderWebSubject的内部类,同样继承了Subject.Builder`

//WebSuject.Builder的构造函数
public Builder(SecurityManager securityManager, ServletRequest request, ServletResponse response) {
    super(securityManager);
    if (request == null) {
    	throw new IllegalArgumentException("ServletRequest argument cannot be null.");
    }
    if (response == null) {
    	throw new IllegalArgumentException("ServletResponse argument cannot be null.");
    }
    setRequest(request);
    setResponse(response);
}
//Subject.Builder构造函数
public Builder(SecurityManager securityManager) {
    if (securityManager == null) {
        throw new NullPointerException("SecurityManager method argument cannot be 				null.");	
    }
    this.securityManager = securityManager;
    //构造一个SubjectContext上下文环境
    this.subjectContext = newSubjectContextInstance();
    if (this.subjectContext == null) {
        throw new IllegalStateException("Subject instance returned from 						'newSubjectContextInstance' " +"cannot be null.");
    }
    //让securityManager放入SubjectContext上下文环境,使之贯穿Subject整个创建过程。
    this.subjectContext.setSecurityManager(securityManager);
}

subjectContext是构造Subject过程中,为Subject提供所需的上下文环境。

//WebSubject.Builder.buildWebSubject
public WebSubject buildWebSubject() {
    Subject subject = super.buildSubject();
    if (!(subject instanceof WebSubject)) {
        String msg = "Subject implementation returned from the SecurityManager was..."
        throw new IllegalStateException(msg);
    }
    return (WebSubject) subject;
}

WebSubject.Builder.buildWebSubject调用父类的buildSubject()方法。

public Subject buildSubject() {
	return this.securityManager.createSubject(this.subjectContext);
}

DefaultSecurityManager.createSubject

public Subject createSubject(SubjectContext subjectContext) {
    //复制subjectContext实例
    SubjectContext context = copy(subjectContext);
    
    //确保subjectContext中存在SecurityManager实例,不存在则创建一个
    context = ensureSecurityManager(context);
    
	//在构造Subject之前,解析Session(通过SessionId)把它放入SubjectContext,Session的维护是交给
    //专门的SessionManager来维护
    context = resolveSession(context);

    //同样的,在构造Subject之前,解析Principals把它放入SubjectContext,此过程有可能失败
    //导致最终的SubjectContext缺少Principal信息。具体过程见下文
    context = resolvePrincipals(context);

    // 创建Subject,委托给专门的SubjectFactory来构造
    // SubjectFactory接口的默认实现为DefaultWebSubjectFactory
    // 观察其对createSubject方法的实现正式将会话域context这一路收集来的信息汇总生成一个WebDelegatingSubject实例(又增加一个中间层)。
    Subject subject = doCreateSubject(context);

    //保存subject在session中,以备将来会用到(开启了rememberMe功能)
    save(subject);
    return subject;
}

解析Principals过程

//DefaultSecurityManager.resolvePrincipals
protected SubjectContext resolvePrincipals(SubjectContext context) {
	//从SubjectContext中解析principals,详见下文
    PrincipalCollection principals = context.resolvePrincipals();
    if (isEmpty(principals)) {
        //从SubjectContext中解析principals失败,尝试RemeberMe来获取principals
        principals = getRememberedIdentity(context);
        if (!isEmpty(principals)) {
            context.setPrincipals(principals);
        } else {
            log.trace("No remembered identity found.  Returning original context.");
        }
    }
    return context;
}

SubjectContext中解析principals

//SubjectContext.resolvePrincipals
public PrincipalCollection resolvePrincipals() {
    //首先查看当前上下文SubjectContext中是否存在Principals
    PrincipalCollection principals = getPrincipals();
    if (isEmpty(principals)) {
        //check to see if they were just authenticated:
        //不存在,尝试从上下文SubjectContext中的AuthenticationInfo中获取Principals
        AuthenticationInfo info = getAuthenticationInfo();
        if (info != null) {
            principals = info.getPrincipals();
        }
    }
    if (isEmpty(principals)) {
        //AuthenticationInfo也解析失败,尝试从SubjectContext中的Subject解析Principals
        Subject subject = getSubject();
        if (subject != null) {
            principals = subject.getPrincipals();
        }
    }
    if (isEmpty(principals)) {
        //Subject也解析失败,则尝试从session中获取当前的Principals
        Session session = resolveSession();
        if (session != null) {
            principals = (PrincipalCollection) session.getAttribute(PRINCIPALS_SESSION_KEY);
        }
    }
    return principals;
}

由于session是shirosessionManger管理的,当用户登陆过了,就会通过sessionId将Principals保存在session中,以便下次重新访问时,可以根据sessionId获取当前的用户。

用户信息是存在session中的,但我们获取当前用户都是通过Subject来获取,因为Subject通过sessionId取出对应 的用户信息,并放到当前Subject中,而Subject是通过ThreadLocal模式将自身绑定到当前线程。

fxkcsdn
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro源码分析01 -- Subject
Layduo
06-11 336
什么是Subject对象 在shiro中我们通常会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是SubjectSubject对象内置属性 Subject其实是一个声明接口,使用的默认类是WebDelegatingSubject,是DelegatingSubject的子类。其中这个WebDelegatingSubject里面含有以下的参数: principals:主键(或者标记的集合) authenticate
Apache Shiro V1.2 SubjectSession的关系以及创建Session的过程分析
王洪伟的专栏
07-24 1万+
在 Apache Shiro V1.2中,SecurityManager、SecurityUtils和Subject是面向开发者的主要操作接口,通过这些统一的接口,可以实现对Apache Shiro 的使用。前面已经说过了 SecurityManager 和 SecurityUtils,这里讲述的是 SubjectSession 的关系以及如何Subject是通过哪些操作完成Session
shiro源码分析(二)SubjectSession
weixin_34130389的博客
02-07 482
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro-02-subjectsession
窃-格瓦拉的博客
03-23 1127
Shirosessionsubject的创建 shiro框架默认有3中会话管理的实现 DefaultSessionManager 用于JavaSE环境 ServletContainerSessionManager 用于Web环境,直接使用Servlet容器会话 DefaultWebSessionManager 用于Web环境,自己维护会话,不会使用Servlet容器的会话管理 先看一下s...
第十章 会话管理——《跟我学Shiro
jinnianshilongnian的专栏
03-10 925
  目录贴: 跟我学Shiro目录贴   Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。   会话 ...
shiro学习笔记
04-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话...通过深入学习这份笔记,你可以掌握Shiro的基本用法,理解其内部机制,并能够应用于实际项目中,提供高效且安全的身份验证和授权功能。
shiro学习笔记.rar
10-06
Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话管理器)和Cryptography(加密)。Realm是Shiro与应用数据源的桥梁,用于获取、验证和授权用户信息。Subject代表当前的用户,它...
shiro学习示例
02-07
在"shiro学习示例"中,我们可以深入理解Shiro的核心概念和实际应用。 1. **Shiro基本概念** - **认证**:确认用户身份的过程,即用户输入用户名和密码,系统通过验证来确认用户的身份。 - **授权**:确定用户是否...
shiro学习资料
08-29
这个文档详细介绍了Shiro的各种组件和API,包括核心概念如Subject、Realms、Caches等,以及认证、授权、会话管理和密码策略等具体功能。通过阅读这份文档,你可以了解到如何配置和使用Shiro来保护你的Java应用。 ...
shiro 学习资料
12-27
Shiro 提供了丰富的 API,让开发者可以直接操作 SecurityManager、SubjectSession 等核心组件,实现自定义的安全逻辑。 **7. 集成其他框架** Shiro 能够很好地与其他 Java 框架集成,如 Spring。通过 Spring AOP...
根据sessionId构建Subject的两种方式
Java Programming
01-16 997
  根据sessionId构建Subject的两种方式:   1: Serializable sessionId = //get from the inbound request or remote method invocation payload Subject requestSubject = new Subject.Builder().sessionId(sessionId)...
CreateSubject------方法六saveSubject(创建session关键)
Entodie的博客
09-03 245
开始储存subject 1、调用的是DefaultSecurityManager 中的SybjectDao: 该对象可以自定定义, 重复判断有没有session,有没有个人信息,有放入更新session 创建sesion的关键: 身份信息: currenexistIngPrincipal:当前subject的身份信息 existIngPrincipal:sess...
Shiro安全框架最全面解析
S_mengyong的博客
06-28 1243
Shiro 一、权限框架介绍 1. 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
对sesson的简单理解
xiaoxiao1777的博客
06-23 350
每个用户登录成功之后,shiro都会给该用户创建一个独立的session对象,同时再创建一个sessionId,存放起来,并且给该前端传递对应的sessionId,前端拿到sessionId存放起来,下次访问的时候,拿上sessionId,后端拿到sessionId进行识别,找到对应的session,就好比在银行开通一个账户一样,有独立的银行卡号,不同的用户访问同一个后台,后台都能给它们分配到对应的session上,彼此不会受影响 SessionDao:负责对session的存,取,改,删 Simple
【若依框架】登录,token,自定义session,鉴权等前后端流程解读
kouryoushine的博客
08-13 1万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录及token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
ShiroSubject对象详解
热门推荐
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
ShiroSession分析
lbl的博客
02-11 1589
本文中的时序图使用在线工具https://www.websequencediagrams.com/生成 背景:使用Spring boot搭建web工程,使用shiro做认证授权工作 疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiroSession SecurityUtils.getSubject() 在处理请求时,可以通过Securi...
shirosession实现的简单分析
tinysakura的博客
08-28 4822
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 <!-- shiro过滤器 --> <filter> <filter-name&
shiroSubject
最新发布
06-13
Apache Shiro是一个强大的安全框架,用于简化在Java和.NET应用中实现身份验证、授权和会话管理等功能。SubjectShiro的核心概念之一,它是所有安全交互的中心点,代表了应用程序中的某个用户或角色。 SubjectShiro中扮演的角色如下: 1. **身份标识**:Subject关联了一个或多个人或角色的标识,比如用户名、密码或角色列表。 2. **访问控制**:Subject负责执行授权检查,确定用户是否有权限访问特定资源或执行某项操作。 3. **会话管理**:Subject与会话(Session)关联,跟踪用户的活动,并处理登录、注销等会话相关操作。 4. **事件监听**:Subject支持事件监听,当发生安全相关的事件,如登录成功、权限变化时,可以触发自定义的处理逻辑。 5. **生命周期**:Subject通常从一个安全上下文(SecurityContext)创建,随其生命周期,直到会话结束或手动清除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值