shrio登录流程

最新推荐文章于 2022-08-24 04:42:13 发布
最新推荐文章于 2022-08-24 04:42:13 发布
阅读量395 收藏 1
点赞数
文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lluodayu/article/details/104690345
版权

 

 

1、登录发起

shrio登录是由subject.login(token)发起的通过SecurityUtils.getSubject()获取subject,subject是绑定线程的,在web环境中通过FormAuthenticationFilter 中onAccessDenied(……)-> executeLogin(request, response)->Subject subject = getSubject(request, response);subject.login(token);进行subject.login(token)的调用

 

1.1  SecurityUtils中创建subject的方法

public static Subject getSubject() {
    Subject subject = ThreadContext.getSubject();
    if (subject == null) {
        subject = (new Subject.Builder()).buildSubject();
        ThreadContext.bind(subject);
    }
    return subject;
}

其中 subject = (new Subject.Builder()).buildSubject();调用的是securityManager.createSubject(this.subjectContext);securityManager看你自己在环境中的绑定。

DefaultWebSecurityManager类中createSubject(subjectContext) 的具体实现在DefaultSecurityManager类中

public Subject createSubject(SubjectContext subjectContext) {
    //create a copy so we don't modify the argument's backing map:
    SubjectContext context = copy(subjectContext);

    //ensure that the context has a SecurityManager instance, and if not, add one:
    context = ensureSecurityManager(context);

    //Resolve an associated Session (usually based on a referenced session ID), and place it in the context before
    //sending to the SubjectFactory.  The SubjectFactory should not need to know how to acquire sessions as the
    //process is often environment specific - better to shield the SF from these details:
    context = resolveSession(context);//其中调用了getSession(SessionKey key)

    //Similarly, the SubjectFactory should not require any concept of RememberMe - translate that here first
    //if possible before handing off to the SubjectFactory:
    context = resolvePrincipals(context);

    Subject subject = doCreateSubject(context);

    //save this subject for future reference if necessary:
    //(this is needed here in case rememberMe principals were resolved and they need to be stored in the
    //session, so we don't constantly rehydrate the rememberMe PrincipalCollection on every operation).
    //Added in 1.2:
    save(subject);

    return subject;
}
protected Subject doCreateSubject(SubjectContext context) {
    return getSubjectFactory().createSubject(context);
}

web环境中我们使用的是DefaultWebSecurityManager,DefaultWebSecurityManager的构造方法如下
public DefaultWebSecurityManager() {
    super();
    ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
    this.sessionMode = HTTP_SESSION_MODE;
    setSubjectFactory(new DefaultWebSubjectFactory());
    setRememberMeManager(new CookieRememberMeManager());
    setSessionManager(new ServletContainerSessionManager());
}

在其中我们可以找到 setSubjectFactory(new DefaultWebSubjectFactory()),即在DefaultWebSecurityManager中shrio使用的是DefaultWebSubjectFactory工厂类。

 DefaultWebSubjectFactory类中的createSubject方法如下

public Subject createSubject(SubjectContext context) {
    if (!(context instanceof WebSubjectContext)) {
        return super.createSubject(context);
    }
    WebSubjectContext wsc = (WebSubjectContext) context;
    SecurityManager securityManager = wsc.resolveSecurityManager();
    Session session = wsc.resolveSession();
    boolean sessionEnabled = wsc.isSessionCreationEnabled();
    PrincipalCollection principals = wsc.resolvePrincipals();
    boolean authenticated = wsc.resolveAuthenticated();
    String host = wsc.resolveHost();
    ServletRequest request = wsc.resolveServletRequest();
    ServletResponse response = wsc.resolveServletResponse();

    return new WebDelegatingSubject(principals, authenticated, host, session, sessionEnabled,
            request, response, securityManager);
}

所以使用DefaultWebSecurityManager我们最终创建的是WebDelegatingSubject

 

1.2 Session的创建

DefaultSecurityManager中的createSubject(subjectContext) 方法中调用了resolveSession(context),

resolveSession(context)和Session的创建有关,DefaultSecurityManager继承了SessionsSecurityManager。

在SessionsSecurityManager中 getSession(SessionKey key)创建了Session,resolveSession(context)中调用了getSession(SessionKey key)。

SessionsSecurityManager中的getSession(SessionKey key)方法如下

public Session getSession(SessionKey key) throws SessionException {
    return this.sessionManager.getSession(key);
}
SessionsSecurityManager中的DefaultSessionManager包含了
this.sessionFactory = new SimpleSessionFactory();
this.sessionDAO = new MemorySessionDAO();

sessionFactory 可控制session的创建,sessionDAO中定义了session的生命周期监听事件

2、登录

2.1 登录通道:

securityManager->authenticator->realm

WebDelegatingSubject类继承了DelegatingSubject,在DelegatingSubject中我们可以找到subject.login(token),具体如下
public void login(AuthenticationToken token) throws AuthenticationException {
    clearRunAsIdentitiesInternal();
    Subject subject = securityManager.login(this, token);

    PrincipalCollection principals;

    String host = null;

    if (subject instanceof DelegatingSubject) {
        DelegatingSubject delegating = (DelegatingSubject) subject;
        //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
        principals = delegating.principals;
        host = delegating.host;
    } else {
        principals = subject.getPrincipals();
    }

    if (principals == null || principals.isEmpty()) {
        String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                "empty value.  This value must be non null and populated with one or more elements.";
        throw new IllegalStateException(msg);
    }
    this.principals = principals;
    this.authenticated = true;
    if (token instanceof HostAuthenticationToken) {
        host = ((HostAuthenticationToken) token).getHost();
    }
    if (host != null) {
        this.host = host;
    }
    Session session = subject.getSession(false);
    if (session != null) {
        this.session = decorate(session);
    } else {
        this.session = null;
    }
}

可以看到 subject.login(token) 中调用了securityManager.login(this, token);

在此之前我们先看一下DefaultWebSecurityManager的继承关系

 

在web环境中我们找到的DefaultWebSecurityManager的login(Subject subject, AuthenticationToken token)(在DefaultSecurityManager类中,DefaultWebSecurityManager继承了DefaultSecurityManager)

 

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
    AuthenticationInfo info;
    try {
        info = authenticate(token);
    } catch (AuthenticationException ae) {
        try {
            onFailedLogin(token, ae, subject);
        } catch (Exception e) {
            if (log.isInfoEnabled()) {
                log.info("onFailedLogin method threw an " +
                        "exception.  Logging and propagating original AuthenticationException.", e);
            }
        }
        throw ae; //propagate
    }

    Subject loggedIn = createSubject(token, info, subject);
    onSuccessfulLogin(token, info, loggedIn);//根据设置创建cookie

    return loggedIn;
}
 我们先看info = authenticate(token),authenticate(token)的具体实现在AuthenticatingSecurityManager类中,如下:
public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
    return this.authenticator.authenticate(token);
}

在AuthenticatingSecurityManager类中的构造函数中我们不难发现

this.authenticator = new ModularRealmAuthenticator();

所以具体的登录认证就在ModularRealmAuthenticator中了

2.2 ModularRealmAuthenticator的authenticate(token)

ModularRealmAuthenticator继承了AbstractAuthenticator,authenticate(token)的具体实现在AbstractAuthenticator中,如下:
public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {

    if (token == null) {
        throw new IllegalArgumentException("Method argumet (authentication token) cannot be null.");
    }

    log.trace("Authentication attempt received for token [{}]", token);

    AuthenticationInfo info;
    try {
        info = doAuthenticate(token);
        if (info == null) {
            String msg = "No account information found for authentication token [" + token + "] by this " +
                    "Authenticator instance.  Please check that it is configured correctly.";
            throw new AuthenticationException(msg);
        }
    } catch (Throwable t) {
        AuthenticationException ae = null;
        if (t instanceof AuthenticationException) {
            ae = (AuthenticationException) t;
        }
        if (ae == null) {
            //Exception thrown was not an expected AuthenticationException.  Therefore it is probably a little more
            //severe or unexpected.  So, wrap in an AuthenticationException, log to warn, and propagate:
            String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " +
                    "error? (Typical or expected login exceptions should extend from AuthenticationException).";
            ae = new AuthenticationException(msg, t);
        }
        try {
            notifyFailure(token, ae);
        } catch (Throwable t2) {
            if (log.isWarnEnabled()) {
                String msg = "Unable to send notification for failed authentication attempt - listener error?.  " +
                        "Please check your AuthenticationListener implementation(s).  Logging sending exception " +
                        "and propagating original AuthenticationException instead...";
                log.warn(msg, t2);
            }
        }


        throw ae;
    }

    log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);

    notifySuccess(token, info);

    return info;
}

他首先进行的是doAuthenticate(token); 然后notifySuccess(token, info);ModularRealmAuthenticator覆盖了AbstractAuthenticator的doAuthenticate(token);ModularRealmAuthenticator中的Authenticate(token)如下:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
    assertRealmsConfigured();
    Collection<Realm> realms = getRealms();
    if (realms.size() == 1) {
        return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
    } else {
        return doMultiRealmAuthentication(realms, authenticationToken);
    }
}

在ModularRealmAuthenticator初始化了AtLeastOneSuccessfulStrategy验证策略,用户可自己验证策略定义。

ModularRealmAuthenticator的realms 来自哪里呢?我们只在SecurityManager中设置了realm,在

RealmSecurityManager中我们有 setRealm(Realm realm) ,它调用了setRealms(realms),setRealms又调用了afterRealmsSet()。AuthenticatingSecurityManager中我们可以找到
protected void afterRealmsSet() {
    super.afterRealmsSet();
    if (this.authorizer instanceof ModularRealmAuthorizer) {
        ((ModularRealmAuthorizer) this.authorizer).setRealms(getRealms());
    }
}

doAuthenticate完成后返回的是AuthenticationInfo

2.3 realm 验证

ModularRealmAuthenticator最终调用的是realm.getAuthenticationInfo(token),其中会进行身份的匹配;

realm中设置了credentialsMatcher,permissionResolver,permissionRoleResolver;

 

 

 

 

 

 

 

 

 

lluodayu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shrio登陆验证实例详细解读
Evankaka的专栏
12-06 1万+
本文采用了Spring+SpringMVC+Mybatis+Shiro+Msql来写了一个登陆验证的实例,下面来看看过程吧!整个工程基于Mavevn来创建,运行环境为JDK1.6+WIN7+tomcat7.这里主要说了Shiro的搭建过程,Spring+SpringMVC+Mybatis的搭建过可以看这里Spring+Mybatis+SpringMVC+Maven+MySql搭建实例
shrio登录框架
黑彩侠的博客
05-14 344
简单的后台判断的代码:private static Logger log=LoggerFactory.getLogger(demo1.class); public static void main(String[] args) { log.info("ceshi...."); //1、获取安全管理器 Factory&lt;SecurityManager&gt; factory=new I...
使用Shiro 实现登录
架构之路
04-08 8372
项目的目录结构1、login.jsp<script type="text/javascript"> function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); $.ajax({ type: "
Shiro(一):Shiro介绍及主要流程
weixin_34250709的博客
06-10 105
什么是Shiro Apache Shiro是一个强大且灵活的开源安全框架,易于使用且好理解,撇开了搭建安全框架时的复杂性。 Shiro可以帮助我们做以下几件事: 认证使用者的身份 提供用户的访问控制,比如: 决定一个用户是否被授予某个特定的安全角色 决定用户是否允许做某件事 可以在任何环境中使用Session API,不在局限于web或是EJB容器中 可以在认证,访问控制或是sessi...
Shiro_登陆
weixin_44840242的博客
03-29 209
四大基石:密码学 会话管理 登陆 授权 目录 1.Shiro集成Spring导包 2.Web.xml的配置 3.applicationContext-shiro.xml的配置 4.创建JpaRealm 5.Spring配置文件中引入shiro的配置文件 6.密码设置 1.准备一个加密算法 2.通过算法加密数据库密码 3.添加员工时密码加密 6.准备登陆页面 ...
shiro登录拦截校验demo
07-19
4. **登录验证流程**: - 用户提交登录请求,携带用户名和密码。 - Shiro的Filter拦截请求,通过`Subject.login()`方法进行身份验证。 - Shiro会调用Realm获取并验证用户凭证,成功则登录成功,失败则抛出异常。 ...
shiro实现单点登录
10-15
1. **测试登录流程**:确保用户在任何应用中登录后,可以在其他应用中自动跳过登录页面。 2. **安全考虑**:SSO涉及用户敏感信息,应确保通信过程的加密,避免会话劫持。 3. **性能优化**:根据实际需求调整Redis的...
shiro 登录 注册
12-08
登录流程中,Shiro 做了以下几步: 1. 用户提交用户名和密码。 2. Subject 进行身份验证,通常调用 `subject.login(token)`,其中 `token` 包含用户信息,如 UsernamePasswordToken。 3. Shiro 将 token 传递给...
shiro登录实例
11-13
在`web_exception_project.zip`压缩包中,你将找到相关的配置文件、 Realm 实现、以及示例代码,这些都将帮助你理解和实践Shiro登录验证流程。通过学习这个实例,你将能够更好地掌握Shiro的安全机制,并将其应用到...
shiro+SSM实现安全登录的项目
06-19
**四、登录流程** 1. 用户提交用户名和密码。 2. Shiro的认证过滤器拦截请求,通过Realm验证用户信息。 3. 验证成功后,Shiro创建Subject并设置Session信息,将用户对象保存在Session中。 4. 用户获得认证后,后续...
shiro框架的基本工作流程
Dragon_King的博客
03-22 3264
当用户前台登录发起请求时: 1.从shiro中获取subject主体 SecurityUtils.getSubject(); 2.判断当前用户是否认证过了,如果认证过了就放行了 subject.isAuthenticated() 3.如果没有认证过,就把前台传递的账号密码封装为一个UserNamePasswordToken对象, new UsernamePasswordToken(username...
shiro学习2-登录认证流程分析
z_yemu的博客
04-30 469
2.3 使用 ini 完成认证 2.3.1 初始化操作: 创建一个maven项目,添加依赖: <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> &lt...
Shiro学习】shiro登陆过程
fxkcsdn的博客
09-08 576
shiro登陆:首先创建一个token,然后执行subject.login方法,自己实现一个Realm来对token进行验证,验证成功,则登陆成功,否则登陆失败。显然,subject.login在其中起到了非常重要的作用!那么它到底干了什么呢? 1.subject.login执行过程的类图 如上图所示,subject.login的执行过程大体如下:首先委托给securityManage...
shiro-登录验证
m0_54850825的博客
04-22 665
shiro实现登录验证,可以用它自身的方法来实现,也可以自定义方法来实现登录验证,了解了shiro登录逻辑,实现自定义的验证逻辑就很简单 1、用shiro方法实现 shiro配置: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" > <property name="securityManager" ref="securityManager" />
Shiro登录的使用以及原理(一)
大鹏的博客
11-23 2980
好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro登录使用以及原理。 一、Shiro主要作用 shiro主要的作用就是实现用户登录(认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。 二、登录的使用 在使用登录的时候,最常见的一串代码就是获取Subject,然后对Token进行login(); // 得到subject然后对创建用户名/密码身份验证 Subject subject = SecurityUtils.ge...
shiro的具体认证流程
nana1253431195的博客
08-24 971
调用SimpleAuthenticationInfo方法构造SimpleAuthenticationInfo对象并且返回。执行getAuthenticationInfo方法中的assertCredentialsMatch进行密码验证。使用doGetAuthenticationInfo方法经行认证。通过传入的token获取principal用户名。使用principal查找数据库获取user对象。最后自定义的Realm的父类。自定义Realm继承。
Shiro授权登录讲解+实战
wZh3121的博客
09-14 1489
前言 Shiro 是什么? Shiro 是一个功能强大且易于使用还很灵活的 Java 开源安全框架; 可以干净地处理身份验证、授权、企业会话管理、单点登录和加密服务。 出自 Apache 、也叫 Apache Shiro Shiro 能干什么? 1)验证用户身份; 2)用户访问控制;比如用户是否被赋予了某个角色,是否允许访问某些资源 3)会话管理 4)事件响应(在身份验证,访问控制期间,或session生命周期中) 5)集成多种用户信息数据源 6)SSO单点登录、记住我、加密、缓存
Shiro学习总结(4)——Shrio登陆验证实例详细解读
科技D人生
05-12 5732
最终效果如下: 工程整体的目录如下: Java代码如下: 配置文件如下: 页面资源如下: 好了,下面来简单说下过程吧! 准备工作: 先建表: [sql] view plain copy drop table if exists user;  
shiro web 登录流程
最新发布
06-09
Shiro Web 登录流程一般分为以下步骤: 1. 用户在 Web 页面中输入用户名和密码,提交表单至服务端。 2. 服务端接收到表单数据后,将用户名和密码封装成一个 UsernamePasswordToken 对象。 3. 然后创建一个 SecurityUtils 对象,通过该对象获取当前的 Subject。 4. 调用 Subject 的 login 方法,将 UsernamePasswordToken 对象作为参数传入进行身份认证。 5. 身份认证成功后,Shiro 会将用户信息保存到一个 Subject 对象中。 6. 然后重定向到用户原来请求的页面或者登录成功后的首页。 7. 在用户后续的请求中,Shiro 会从 Subject 对象中获取当前用户的身份和权限信息,进行授权操作。 需要注意的是,Shiro Web 登录流程中,Shiro 会自动跳转到一个默认的登录页面,并且该页面需要配置在 Shiro 的配置文件中。如果需要自定义登录页面,可以通过编写 Shiro 的过滤器来实现。在登录成功后,Shiro 会跳转到用户原来请求的页面或者配置的默认首页,这也需要在 Shiro 配置文件中进行配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值