Shiro源码研究之构建Subject实例

最新推荐文章于 2024-07-25 09:37:41 发布
最新推荐文章于 2024-07-25 09:37:41 发布
阅读量4.4k 收藏 9
点赞数 1
分类专栏: Shiro 文章标签: shiro 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqzkcx3/article/details/78801403
版权

接上一篇博客Shiro源码研究之处理一次完整的请求,其中的第二小节中的这样一行代码final Subject subject = createSubject(request, response);直接略过了。这篇文章就专门来对这段代码后面所发生的事情进行一下探讨。

1. 前言

Subject作为Shiro对外API的核心,必然需要相当多的功能模块进行支撑。因此虽然构造Subject的代码看似只有一行,但后面的逻辑还是有点复杂度的。接下来就让我们对这些模块进行一下了解。

2. AbstractShiroFilter.createSubject方法

// AbstractShiroFilter.createSubject
protected WebSubject createSubject(ServletRequest request, ServletResponse response) {
    // securityManager是shiro强制要求用户必须自己配置的。
    // 在Web环境下,其为DefaultWebSecurityManager类型。这一点随便找个spring-shiro的配置文件就能看到了。
    return new WebSubject.Builder(getSecurityManager(), request, response).buildWebSubject();
}

3. WebSubject.Builder构造函数

WebSubject也是个接口,继承自Subject;而WebSubject.Builder 同样继承自Subject.Builder;所以WebSubjectSubject是有着相同的结构的。

// WebSubject.Builder 构造函数
public Builder(SecurityManager securityManager, ServletRequest request, ServletResponse response) {
    // 调用Subject.Builder的构造函数
    super(securityManager);
    if (request == null) {
        throw new IllegalArgumentException("ServletRequest argument cannot be null.");
    }
    if (response == null) {
        throw new IllegalArgumentException("ServletResponse argument cannot be null.");
    }
    // 让SubjectContext会话域附加上当前请求request; 贯穿整个执行过程。
    setRequest(request);
    // 让SubjectContext会话域附加上当前响应response; 贯穿整个执行过程。
    setResponse(response);
}

// Subject.Builder 构造函数
public Builder(SecurityManager securityManager) {
    if (securityManager == null) {
        throw new NullPointerException("SecurityManager method argument cannot be null.");
    }
    this.securityManager = securityManager;
    // 构建一个SubjectContext会话域。
    this.subjectContext = newSubjectContextInstance();
    if (this.subjectContext == null) {
        throw new IllegalStateException("Subject instance returned from 'newSubjectContextInstance' " +
                "cannot be null.");
    }

    // 让会话域带着securityManager贯穿整个执行过程。
    this.subjectContext.setSecurityManager(securityManager);
}

4. WebSubject.Builder.buildWebSubject方法

// ---------- WebSubject.Builder.buildWebSubject
public WebSubject buildWebSubject() {
    // 调用基类Subject.Builder的buildSubject方法
    Subject subject = super.buildSubject();
    // 确保返回值为WebSubject类型
    if (!(subject instanceof WebSubject)) {
        String msg = "Subject implementation returned from the SecurityManager was not a " +
                WebSubject.class.getName() + " implementation.  Please ensure a Web-enabled SecurityManager " +
                "has been configured and made available to this builder.";
        throw new IllegalStateException(msg);
    }
    return (WebSubject) subject;
}

// ----------  Subject.Builder的buildSubject方法
public Subject buildSubject() {
    // 委托给了SecurityManager实例; 
    // 这里的securityManager实际类型为DefaultWebSecurityManager类型
    // 而subjectContext的时机类型为DefaultWebSubjectContext, 而且按照之前的跟踪,我们知道该Context中已经被填入了当前请求的request,response以及securityManager实例(而且请注意DefaultWebSubjectContext的实现是直接将这些实例以特定的键推入内部的Map容器, 只是暴露了专门的方法进行读取罢了, 并没有额外新增字段)。
    return this.securityManager.createSubject(this.subjectContext);
}

5. DefaultSecurityManager.createSubject 方法

// DefaultSecurityManager.createSubject
public Subject createSubject(SubjectContext subjectContext) {
    //create a copy so we don't modify the argument's backing map:
    // copy方法被子类DefaultWebSecurityManager重载; 返回一个DefaultWebSubjectContext实例
    SubjectContext context = copy(subjectContext);

    //ensure that the context has a SecurityManager instance, and if not, add one:
    // 子类DefaultWebSecurityManager未进行重载, 
    // 此方法确保会话域持有一个SecurityManager来贯穿整个执行流程。
    context = ensureSecurityManager(context);

    //Resolve an associated Session (usually based on a referenced session ID), and place it in the context before
    //sending to the SubjectFactory.  The SubjectFactory should not need to know how to acquire sessions as the
    //process is often environment specific - better to shield the SF from these details:
    // 向会话域中存入一个Session实例; 
    // 此操作可能失败, 届时会构建一个缺少Session的会话域 
    // 注意这里的构建Session出错是被允许的, 所以异常是以Debug的方式输出的.
    // Session的维护是交给了专门的SessionManager来负责
    // 注意这里用的是SessionKey类型的Key,而不是简单的string类型的sessionId
    // 因为Session我们操作的比较频繁,所以下文会进行详解
    context = resolveSession(context);

    //Similarly, the SubjectFactory should not require any concept of RememberMe - translate that here first
    //if possible before handing off to the SubjectFactory:
    // 这一步会向会话域中插入Principal; 此操作也有可能失败, 即最终会话域context中缺少Principal信息
    // rememberMe的功能也是交给了专门的RememberMeManager
    // 而且默认的RememberMe功能是通过Cookie来完成的, 所以默认的实现是CookieRememberMeManager; 而且cookie的默认名称是rememberMe
    // 而且Shiro有自己专门的Cookie接口,而唯一的实现则是SimpleCookie
    context = resolvePrincipals(context);

    // 看过Spring源码的都知道这命名意味着什么, 真正干活的来了。
    // 创建Subject的工作又被委派给了专门的SubjectFactory, 七拐八绕啊。
    // SubjectFactory接口的默认实现为DefaultWebSubjectFactory
    // 观察其对createSubject方法的实现正式将会话域context这一路收集来的信息汇总生成一个WebDelegatingSubject实例(又增加一个中间层)。
    Subject subject = doCreateSubject(context);

    //save this subject for future reference if necessary:
    //(this is needed here in case rememberMe principals were resolved and they need to be stored in the
    //session, so we don't constantly rehydrate the rememberMe PrincipalCollection on every operation).
    //Added in 1.2:
    // 专门的SubjectDAO接口负责对该subject进行保存操作
    // SubjectDAO接口的默认实现类为DefaultSubjectDAO
    save(subject);

    return subject;
}

也就是说会话域Context一路收集来的principals, authenticated, host, session, sessionEnabled, request, response, securityManager ; 最终被存入到了返回的这个Subject中。

5.1 DefaultSecurityManager.resolveSession方法

Session是我们比较关注的。

@SuppressWarnings({"unchecked"})
protected SubjectContext resolveSession(SubjectContext context) {
    if (context.resolveSession() != null) {
        log.debug("Context already contains a session.  Returning.");
        return context;
    }
    try {
        //Context couldn't resolve it directly, let's see if we can since we have direct access to 
        //the session manager:
        // 获取Session
        Session session = resolveContextSession(context);
        if (session != null) {
            context.setSession(session);
        }
    } catch (InvalidSessionException e) {
        log.debug("Resolved SubjectContext context session is invalid.  Ignoring and creating an anonymous " +
                "(session-less) Subject instance.", e);
    }
    return context;
}

// ---------- DefaultSecurityManager.resolveContextSession
protected Session resolveContextSession(SubjectContext context) throws InvalidSessionException {
    SessionKey key = getSessionKey(context);
    if (key != null) {
        // 委托给专门的sessionManager去提取Session
        return getSession(key);
    }
    return null;
}

// ---------- DefaultWebSecurityManager.getSessionKey
// DefaultWebSecurityManager覆写了基类的getSessionKey方法
@Override
protected SessionKey getSessionKey(SubjectContext context) {
    if (WebUtils.isWeb(context)) {
        Serializable sessionId = context.getSessionId();
        ServletRequest request = WebUtils.getRequest(context);
        ServletResponse response = WebUtils.getResponse(context);
        return new WebSessionKey(sessionId, request, response);
    } else {
        // 调用基类DefaultSecurityManager的getSessionKey方法
        return super.getSessionKey(context);

    }
}

// ---------- DefaultSecurityManager.getSessionKey
protected SessionKey getSessionKey(SubjectContext context) {
    // 所以如果本次会话域中没有带过来SessionId, 那么就不会创建一个SessionKey实例; 当然也就不会创建一个Session了
    Serializable sessionId = context.getSessionId();
    if (sessionId != null) {
        return new DefaultSessionKey(sessionId);
    }
    return null;
}

6. 绑定到线程上下文

上一篇博客除了略过Subject实例的构造细节外,还省略了非常有意思的细节——Shiro将获取到的subject实例存储在了当前执行线程的线程本地存储中。现在就让我们来看看Shiro是如何透明化这一部分操作的。

subject.execute(new Callable() {
    public Object call() throws Exception {
        // 更新最后读取session的时间
        updateSessionLastAccessTime(request, response);
        // 核心,下文进行讲解
        executeChain(request, response, chain);
        return null;
    }
});

以上就是上一篇博客里的代码了,其中关于Callable匿名实现类里的方法我们已经进行过讲解;而且既然我们谈到的是”透明化“,说明魔法其实应该是在execute方法里了。

6.1 WebDelegatingSubject.execute方法

上一篇文章我们已经得知在Web环境下,subject字段的实际类型是WebDelegatingSubject。这里我放上一张相关堆栈图
subject.execute堆栈图

参考本人在简书上的《如何加速源码利理解速度》一文,可以得出不少信息:
1. 虽然当前的实际类型是WebDelegatingSubject,而execute实际是定义在其基类DelegatingSubject中的,而且WebDelegatingSubject并未对其进行重载。
2. DelegatingSubject类对execute方法的实现则是将其委托给了专门的SubjectCallable<V>
3. 正是在SubjectCallable<V>类中,Shiro将本次构造的Subject实例存放到了当前Thread的线程本地存储中;也就是将该Subject实例与当前Thread进行绑定
4. 还可以看到Shiro对于ThreadLocal<T>的使用方式是将其封装为对自定义的ThreadContext的调用。关于ThreadContext,其显式绑定的就两个实例:Subject和SecurityManager 。这个观察其定义的bind方法就知晓了。

6.2 DelegatingSubject.execute方法

这里还是贴出DelegatingSubject.execute的实现。

// DelegatingSubject.execute
public <V> V execute(Callable<V> callable) throws ExecutionException {
    // 构造出一个SubjectCallable<V>实例。
    Callable<V> associated = associateWith(callable);
    try {
        // 在SubjectCallable<V>中透明化对Subject绑定/解绑线程本地量的操作。
        return associated.call();
    } catch (Throwable t) {
        throw new ExecutionException(t);
    }
}

7. SecurityUtils.getSubject()方法

如果说Shiro被调用者最常接触到的,应该就是这个方法了。所以在本文的最后我们顺势来看看这方法。

// SecurityUtils.getSubject()
public static Subject getSubject() {
    // ThreadContext是Shiro内部定义的, 对ThreadLocal<T>进行了封装。
    // ThreadLocal<T>的讲解,可以参见《精通Spring4.x企业应用开发实战》 P363
    // 联系上面的内容,我们可以猜测,在自定义的Realm或者其他地方,以下方法是可以直接取到之前构建出的WebDelegatingSubject实例的。
    Subject subject = ThreadContext.getSubject();
    if (subject == null) {
        // Subject是接口,而这个Builder类型则是作为public访问级别的静态内部类, 被定义在Subject接口内部的; 
        // buildSubject方法里则是直接将构建Subject实例的工作交给了SecurityManager接口实现类(这就是为了调用使用之前,必须调用SecurityUtils.setSecurityManager方法设置)。在Web环境下,这个securityManager的真实类型为DefaultWebSecurityManager
        subject = (new Subject.Builder()).buildSubject();
        // 将取出来的Subject存储上当前线程的私有容器中。
        ThreadContext.bind(subject);
    }
    return subject;
}

8. 结语

综合前后两篇文章,大致应该可以了解在一次请求过程中,Shiro会启用哪些组件,以及是怎样的方式来完成权限认证的。

夫礼者
关注
专栏目录
Shiro源码-创建subject
caiqianzhigai0859的博客
09-26 1160
用了shiro很长时间了,但是一直也没有深入了解,最近再一次使用到的时候,决定深入了解一下它的源码。主要是网上的资料太乱了,每次查的东西都是乱七八糟的,还是要自己去了解,去解决问题。申明一下,这篇博文主要是为了自己作记录,不是为了让谁看懂,所以会比较乱。另外,我使用的场景是web,所以我了解到的是webSubjectshiro本质上就是过滤器,所以要理解他的请求过程,按照过滤器的请求过程就行...
shiro实例代码
10-25
ssm框架集成shiro的简单实例,可以帮助初学者更快地入门
Shiro--subject
最新发布
weixin_46520767的博客
07-25 486
在 Apache Shiro 中,Subject 是一个核心概念,它表示一个当前正在与应用程序交互的用户。这个用户可以是一个真实的人,也可以是一个系统账户或其他安全实体。SubjectShiro 进行身份认证和权限检查的主要接口。
一个简单的shiro例子
10-29
一个简单的SSM框架,基于IDEA IDE开发,可以直接运行,里面加入了shiro,前端用bootstrap展现
shiro框架实例
小东升职记
11-09 470
1.基于maven下的框架,首先是对web.xml下进行配置    1.1配置servlet    1.2配置中文编码过滤器    1.3配置shiro过滤器    1.4在这里需要配置一个spring容器监听器    1.5适当情况下我们也可以配置一些错误页面跳转信息 &lt;!--配置一个spring容器监听器 --&gt; &lt;context-param&gt; ...
[免费]Shiro登录简单实例源码
08-29
http://blog.csdn.net/m0_37116405/article/details/77149896
shiro登录实例
11-13
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载
shiro源码分析
06-01
Shiro源码分析将帮助我们理解其工作原理和核心组件。 首先,Shiro的设计理念可以概括为:简单易用且功能强大。Shiro具有三个核心概念:Subject、SecurityManager和Realms。 1. Subject代表了当前与软件交互的用户...
shiro+spring mvc集成的实例源码
09-17
在实际应用中,"shiro+spring mvc集成的实例源码"可能包含以下关键部分: 1. **shiro.ini**:Shiro 的配置文件,用于设置安全策略、 Realm 配置以及其他相关设置。例如,定义用户角色、权限以及登录验证规则。 2. ...
SSH整合Shiro源码
01-19
**SSH整合Shiro源码详解** 在Web应用开发中,安全性是至关重要的。SSH(Spring、Struts2、Hibernate)和Apache Shiro都是常见的Java安全框架。SSH是用于构建MVC架构的开源框架,而Shiro则专注于身份验证、授权和...
shiro源码分析二
06-01
如果当前线程还没有与之关联的Subject实例,则通过Subject内部类Builder构建一个新的Subject。Builder会创建一个DefaultSubjectContext实例,这个实例充当了创建Subject的上下文环境。之后,Builder会将创建好的...
Shiro与数据库交互的实例
02-14
Shiro与数据库交互的实例 网上没有看见完整的例子,最近学习学习,随便做了一个完整的例子,奉献给大家
2018.3.8 shiro的buildSubject相关源码解析
七月流火滋滋滋
03-07 941
在自己的项目中,对login方法的使用示例:Subject currentUser = new Subject.Builder().buildSubject(); token = new UsernamePasswordToken(username,password); currentUser.login(token);Subject.Builder().builderSubject实际最终调用的...
shirosubject创建,以及shiro如何保证用户登录状态
qq_45507768的博客
03-19 1642
在该仓库下的adminsys项目)。重要概念什么是subjectsubject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
CreateSubject------方法五doCreateSubject
Entodie的博客
09-03 285
关键参数: principle authenticated host sesion seesionEnabled request response securitymanager
CreateSubject------方法六saveSubject(创建session关键)
Entodie的博客
09-03 258
开始储存subject 1、调用的是DefaultSecurityManager 中的SybjectDao: 该对象可以自定定义, 重复判断有没有session,有没有个人信息,有放入更新session 创建sesion的关键: 身份信息: currenexistIngPrincipal:当前subject的身份信息 existIngPrincipal:sess...
shiroSubject对象创建过程
你就像甜甜的益达
01-05 1766
文章目录Subject是怎么创建的Subject创建入口具体创建subject方法返回Subject Subject是怎么创建的 首先前面讲了,shiro其实就是一连串的过滤器链,过滤器链的话就是依次执行doFilter方法:我们直接找doFilter的shiro包的实现: 注意,spring包也有个叫做OncePerRequestFilter的类; Subject创建入口 我们看OncePer...
CreateSubject-------方法三resolveSession详解(重要)
Entodie的博客
09-03 389
方法三: 功能: 1、查询有没session 更新session 2、查看sessionid 通过cookie存有session对应的id 通过遍历所有cookie查询自定义的cookie 3、获取默认的 resolveSession详解 内部有两个session方法 1、if中判断方法: 通过如下的id类型从容器获取session 通过...
(2)shiro架构图之Subject构建过程
weixin_38312719的博客
03-11 1131
用过shiro的人都知道,对于我们开发人员来说,都是和Subject这个对象来打交道的,所以我们要对于Subject这个接口进行深入的了解。但是这里我们主要讲解Subject这个对象里面各个属性值的赋值过程,因为后面使用Subject.isAuthenticated()这个方法来判断是否当前认证主体是否经过认证,在isAuthenticated()方法中其实就是判断Subject对象的bool...
Shiro源码解析:Subject与Session深度探究
"Shiro源码分析,涉及Subject和Session的创建与管理" Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。在深入学习Shiro的过程中,了解其核心组件Subject和Session的工作原理...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值