shiro登录源码分析

最新推荐文章于 2021-03-05 00:00:12 发布
最新推荐文章于 2021-03-05 00:00:12 发布
阅读量177 收藏
点赞数
分类专栏: java 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaxin_sky/article/details/87555834
版权

只截取关键代码

我们通过账户,密码来获取token,使用token来进行登录,然后会写MyShiroRealm继承AuthorizingRealm,在MyShiroRealm写我们登录的业务逻辑。

登录方法web层的 /login 

UsernamePasswordToken token = new UsernamePasswordToken(username, pwd);
subject.login(token);

点击subject.login(token)

public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();

        // #####从这进入####
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }

接着往下

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            // #####从这进入####
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
    }
public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        // #####从这进入####
        return this.authenticator.authenticate(token);
    }
public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {

        if (token == null) {
            throw new IllegalArgumentException("Method argument (authentication token) cannot be null.");
        }

        log.trace("Authentication attempt received for token [{}]", token);

        AuthenticationInfo info;
        try {
        // #####从这进入####
            info = doAuthenticate(token);
            if (info == null) {
                String msg = "No account information found for authentication token [" + token + "] by this " +
                        "Authenticator instance.  Please check that it is configured correctly.";
                throw new AuthenticationException(msg);
            }
        } catch (Throwable t) {
            AuthenticationException ae = null;
            if (t instanceof AuthenticationException) {
                ae = (AuthenticationException) t;
            }
            if (ae == null) {
                //Exception thrown was not an expected AuthenticationException.  Therefore it is probably a little more
                //severe or unexpected.  So, wrap in an AuthenticationException, log to warn, and propagate:
                String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " +
                        "error? (Typical or expected login exceptions should extend from AuthenticationException).";
                ae = new AuthenticationException(msg, t);
                if (log.isWarnEnabled())
                    log.warn(msg, t);
            }
            try {
                notifyFailure(token, ae);
            } catch (Throwable t2) {
                if (log.isWarnEnabled()) {
                    String msg = "Unable to send notification for failed authentication attempt - listener error?.  " +
                            "Please check your AuthenticationListener implementation(s).  Logging sending exception " +
                            "and propagating original AuthenticationException instead...";
                    log.warn(msg, t2);
                }
            }


            throw ae;
        }

        log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);

        notifySuccess(token, info);

        return info;
    }
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
        // #####从这进入####
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }
protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {

        AuthenticationStrategy strategy = getAuthenticationStrategy();

        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);

        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }

        for (Realm realm : realms) {

            aggregate = strategy.beforeAttempt(realm, token, aggregate);

            if (realm.supports(token)) {

                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

                AuthenticationInfo info = null;
                Throwable t = null;
                try {
                    // #####从这进入####
                    info = realm.getAuthenticationInfo(token);
                } catch (Throwable throwable) {
                    t = throwable;
                    if (log.isWarnEnabled()) {
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.warn(msg, t);
                    }
                }

                aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);

            } else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }

        aggregate = strategy.afterAllAttempts(token, aggregate);

        return aggregate;
    }
public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:

            // #####从这进入####
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

然后再自己写的MyShiroRealm重写方法即可。

/*主要是用来进行身份认证的,也就是说验证用户输入的账号和密码是否正确。*/
	@Override  
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
			throws AuthenticationException {
		//获取用户的输入的账号.  
		String username = (String) token.getPrincipal();
		//System.out.println(token.getCredentials());  
		//通过username从数据库中查找 User对象,如果找到,没找到.  
		//实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
		SystemUserDO userInfo = systemUserService.getUserByLoginName(username);
		Map<String, String> loginUser = systemUserService.getLoginUserbyName(username);

		if (userInfo == null || loginUser==null) {
			return null;
		}

		//密码解密
		byte[] pwdByte = EncryptionUtil.hex2byte(loginUser.get("login_pwd")==null?"":loginUser.get("login_pwd"));
		String pwd = null;
		try {
			pwd = new String(EncryptionUtil.decode(pwdByte, "cmoscmos".getBytes()));
		} catch (Exception e) {
			logger.error("密码解密失败", e);
		}
		//对密码进行md5加密
		try {
			pwd = PwdMd5.GetPwd(pwd, username);
		} catch (Exception e) {
			logger.error("aes加密失败", e);
		}

		if (("1").equals(userInfo.getUserStatus()) || ("2").equals(userInfo.getUserStatus())) { //账户冻结或未审核
			throw new LockedAccountException();
		}

		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
				username, //用户名
				pwd, //密码
				ByteSource.Util.bytes(username),//salt=username+salt
				getName()  //realm name
				);
		return authenticationInfo;
	}

再断点处,我都加了        // #####从这进入####

看官看的时候可以依次打断点看

画心_sky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro登录流程源码分析
末贵的CSDN个人博客
09-08 158
分析整个登录流程,以token去向为线索,层层追踪,直到跟我们自定义的realm验证方法结合。
Shiro Authentication身份认证/登录
xk147258的博客
08-23 2355
1、前台页面点击登录后进入后台处理方法,在方法中使用用户名、密码创建token 创建Subject对象。调用login()方法 @PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) ...
Shiro学习随笔【二】身份认证
OceanSky的专栏
09-14 630
一、身份认证也就是提供相应的凭证证明你是用户本人,通常是指用户名和密码,在Shiro中用户需要体用Principals(身份)、Credentials(证明)给shiro,从而能够验证用户的身份。 Principals:身份,即主题的标识属性,可以有多个如邮箱、手机号、用户名等,但是只能有一个主身份标识。 Credentials:证明/凭证,即用户的密码或者数字证书。   二、用户的登录和...
java 安全框架 shiro_Spring Boot上的Shiro安全框架
weixin_28718345的博客
03-05 125
Shiro权限控制之登录认证前言:相信点进来的同学大部分是刚接触shiro框架所以我们从最基础开始,当然我会抛开那些shiro的官方图(真的有人会认真看那玩意儿?),一步步向大家讲解shiro的配置过程及登录认证的简单实现Shiro是用来帮助我们做权限管理的,本篇文章的shiro使用在Web项目上,所以我用了最新的spring boot为框架。(当然使用xml来进行配置也可以,原理是一样的,只是写...
5.Authenticator(登录验证器)
浪子
09-06 9087
Authenticator在shiro中是主要负责验证用户登录,它通常和一组Realm来协调、交互验证用户登录。一般情况下我们不会直接使用Authenticator。而是交由SecurityManager来委托使用。 1.Authenticatorpublic interface Authenticator { //根据用户输入的AuthenticationToken(账号密码)然后去和
shiro登录过程分析
wpeng_1024的博客
11-15 9733
关于shiro就不用做过多介绍了,今天主要分析登录过程 首先我大致画了个流程图(可能不够详细): 第一步:用户登录,根据用户登录名密码生产Token  UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.get
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro+cas实现单点登录 示例代码,送源码分析url
10-20
shiro+cas实现单点登录 示例代码,送源码分析url:http://note.youdao.com/noteshare?id=a83380ee8fc6913162042e865689844e&sub=CD905CCCE4134A159326DC2DFC1AF268
Shiro 视频教程+源码+课件
08-29
视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro 他大爷 1.Shiro 简介 2.ShiroHelloWorld 实现 第二章 身份认证 1.Subject 认证主体 2.身份认证流程 第三章 权限认证...
shiro源码分析(四)具体的Realm
08-08
NULL 博文链接:https://lgbolgger.iteye.com/blog/2168797
Shiro__认证过程__源码跟踪分析
qq_37432174的博客
07-21 661
shiro认证过程源码 public static void main(String[] args) { // 1.获取SecurityManager工厂对象 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); // 2.通过Factory对象获取S...
Shiro 登录认证源码详解
热门推荐
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro登录认证(Authentication)功能。
Shiro用户登录认证、权限授权示例,以及源码分析(上)
Jekin Blog
01-23 4875
前言   本篇文章主要讲解用户登录认证模块,下节再细讲权限。当然,最后笔者会分享整套源码。由于涉及到前端部分,年尾将至,没啥时间整那些,因此,提供的代码只涉及到后台,并且是封装过的,复用性高(但是,天上不会掉馅饼,还是要多敲多看多理解)。没有界面视图,确实理解比较吃力,望各位多多见谅!!! Shiro优势(Thinking)   shiro认证方式,获取前端用户名和密码,实例化对象Use
shiro登录认证 +源码分析
withawind的博客
07-03 698
最近学习了一下shiro 大体流程是走通了 想了解下源码 也好进一步了解其运行原理 首先是登录验证从页面的登陆请求开始 @RequestMapping(value = "/login", method = RequestMethod.POST) public String loginVali() { String username = super....
Shiro授权过程--源码分析
↓ ↓ ↓ ↓
03-15 2317
现在来分析授权的过程这篇文章会接着上一篇文章,根据源码分析一下Shiro实现授权的过程,(其中Subject之前的方法不做过多解释)注: 配置文件和代码都放在文章最下面准备工作:1. AuthorizedRealm:  这是一个继承了AuthorizingRealm(是AuthenticatingRealm的子类,同样是抽象类)的Realm类,用来从数据库中获取用户的身份安全信息(本例中使用静...
Shiro认证过程--源码分析
↓ ↓ ↓ ↓
03-14 5241
Shiro认证过程源码分析这篇文章会根据源码分析一下Shiro实现认证的过程,(不涉及Shiro的Filter对url的处理,只从Subject的login()方法开始分析)注: 配置文件和代码都放在文章最下面准备工作:1.login.jsp: 登录界面,用户在此输入username和password 2.success.jsp: 登录成功的界面3.LoginController: 接收login...
Shiro入门(四)Shiro登录验证源码及策略
jwang的博客
05-10 567
前言 本章讲解Shiro登录验证的源码剖析以及登录验证策略 方法 一、Shiro登陆验证源码解析 1.使用Subject的login方法验证token 2.实际上Subject类仅仅是一个接口,他通过实现类DelegatingSubject将token委托给SecurityManager来完成验证 3.而SecurityManager作为“心脏”接口,有很多的实现...
Shiro系列记录(二)——Shiro登录源码分析
菜鸟逆袭之路
06-06 183
前言 传送门: Springboot整合Shiro实现登录登出 Shiro知识点概括 1、Shiro如何实现登录? 1.1 请求进入Controller 调用subject.login() 1.2 来到DelegatingSubject类,很明显还是securityManager干活 1.3DefaultWebSecurityManager 该方法里会验证登录信息,如果登录通过会返回登录信息,如不通过则抛出异常;authenticate方法定义在父类AuthenticatingS..
shiro springboot 源码
最新发布
07-13
总的来说,阅读Shiro Spring Boot源码有助于我们深入理解Shiro和Spring Boot的工作原理和机制,提升对应用程序的安全性和性能的把握,进而能更好地开发和调优应用程序。 ### 回答3: Shiro是一个强大的身份认证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值