apache shiro的工作流程分析

最新推荐文章于 2021-03-20 23:36:07 发布
最新推荐文章于 2021-03-20 23:36:07 发布
阅读量440 收藏
点赞数
分类专栏: Java-学习笔记

原址:点击打开链接

摘要  apache shiro非常易于使用,如果是在标准java web环境下使用,你没有必要去了解内部的工作流程。如果需要在非标准java web环境使用,就必须深入到它的整个对象图中去。

本文基于shiro的web环境,用宏观(也就是不精确)的角度去理解shiro的工作流程,先看shiro官方的一张图。

和应用程序直接交互的对象是Subject,securitymanager为Subject服务。可以把Subject看成一个用户,你的所有的代码都由用户来执行。suject.execute(callable),这个callable里面就是你的代码。

一、shiro如何介入你的webapp

它是如何初始化的?servletContextListener。它是如何在每个http请求中介入的?ServletFilter.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
< listener >
     < listener-class >org.apache.shiro.web.env.EnvironmentLoaderListener</ listener-class >
</ listener >
 
 
< filter >
     < filter-name >ShiroFilter</ filter-name >
     < filter-class >org.apache.shiro.web.servlet.ShiroFilter</ filter-class >
</ filter >
 
< filter-mapping >
     < filter-name >ShiroFilter</ filter-name >
     < url-pattern >/*</ url-pattern >
     < dispatcher >REQUEST</ dispatcher
     < dispatcher >FORWARD</ dispatcher
     < dispatcher >INCLUDE</ dispatcher
     < dispatcher >ERROR</ dispatcher >
</ filter-mapping >

EnvironmentLoaderListener会根据你在web.xml中的配置读取对应的配置文件(默认读取/WEB-INF/shiro.ini,或者classroot的对应文件),构建一个shiro环境,该环境保存在servletcontext中,所有的filter都可以获取。里面就包括一个单例的securityManager,该securityManager已经根据ini的内容进行了配置。

再看shiroFilter:

?
1
2
3
4
5
6
7
8
9
10
11
     @Override
     public  void  init()  throws  Exception {
         WebEnvironment env = WebUtils.getRequiredWebEnvironment(getServletContext());
 
         setSecurityManager(env.getWebSecurityManager());
 
         FilterChainResolver resolver = env.getFilterChainResolver();
         if  (resolver !=  null ) {
             setFilterChainResolver(resolver);
         }
     }

这样filter里面就可以使用securityManager了。

下面的一段代码就是本文开头提到的Subject(用户)的创建了,因为是web环境所以每次请求都需要创建一个subject对象,在filter里面给你准备好,在你的servlet里面就可以直接使用了。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
             final  ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
             final  ServletResponse response = prepareServletResponse(request, servletResponse, chain);
 
             final  Subject subject = createSubject(request, response);
 
             //noinspection unchecked
             subject.execute( new  Callable() {
                 public  Object call()  throws  Exception {
                     updateSessionLastAccessTime(request, response);
                     executeChain(request, response, chain);
                     return  null ;
                 }
             });

看一下subject.execute的javadoc,写道:

Associates the specified Callable with this Subject instance and then executes it on the currently running thread.  If you want to execute the Callable on a different thread, it is better to use the associateWith(Callable)} method instead.

将callable(你的所有代码都在里面执行)和当前的subject实例相关联,并且在当前的thread中执行...

二、securityManage如何为subject服务

请注意看上面最后一段java代码,里面有一个createSubject(request,response)方法,也在filter里面,它的代码如下:

?
1
2
3
     protected  WebSubject createSubject(ServletRequest request, ServletResponse response) {
         return  new  WebSubject.Builder(getSecurityManager(), request, response).buildWebSubject();
     }


看到没有?subject的构造用到了securityManager,所有shiro的魔法都被隐藏在securityManager里面了。接下来提一些问题,试着发现securityManager需要完成哪些工作。

  • 如果保证每次http请求得到同一个(确切说应该是一样的)subject?这里关系到session管理了吧。

  • 如何登陆用户,subject.login?这里关系到认证,授权,用户realm了吧。

  • ....


阳泉
关注
专栏目录
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1581
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 358
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
1----apache工作流程和报文详解
weixin_33895604的博客
08-15 456
HTTP服务请求步骤: (1)建立连接 (2)接受请求 (3)处理请求 (4)访问资源 (5)构建响应 (6)发送响应 (7)记录事务处理过程 http报文: http事务,一次请求以及与其对应的响应 http方法:get,put,head,post,delete http请求报文格式: <method>...
Apache Shiro保护你的应用[转]
weixin_33895475的博客
05-27 286
为什么80%的码农都做不了架构师?>>> ...
简述apache和php工作流程,php工作流程
weixin_29796279的博客
03-20 2706
满意答案shwdwlb2020.10.02采纳率:53%等级:12已帮助:6656人PHP是运行与服务器端的脚本语言,实现了数据库与网页之间的数据交互。一个完整的PHP网站系统由以下几部分组成。操作系统网络中的 服务器也是一台计算机,因此需要操作系统。PHP有着良好的跨平台性,支持windows和Linux等操作系统web服务器当一台计算机中安装操作系统后,还需要安装web服务器才能进行h...
Shiro工作原理简介
qq_42093488的博客
08-31 2196
Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。 Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。 SecurityManager:管理所有Subject,SecurityManage...
Shiro的基础工作流程
qq_31213835的博客
04-23 405
1.获取当前的Subject,调用SecurityUtils.getSubject()。2.检测当前用户是否已经被认证,即是否已经登陆,调用Subject的isAuthenticated()。3.若没有被认证,则把用户名和密码封装为UsernamePasswordToken对象。    3.1认证流程        (1)创建一个登陆表单页面。        (2)将请求提交到SpringMVC的...
Apache-shiro-1.7.0.zip下载
09-03
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。在1.7.0之前的版本中,Shiro存在一个严重的安全漏洞,这个漏洞允许攻击者通过精心构造的请求执行任意系统命令,对...
Spring Boot+Maven+Spring Data JPA+apache Shiro+Easyui实现通用用户权限管理系统
12-22
本项目基于"Spring Boot+Maven+Spring Data JPA+apache Shiro+Easyui",这些技术栈的选择旨在简化开发过程,提供强大的功能,并确保系统的安全性和用户体验。 1. **Spring Boot**: Spring Boot是Spring框架的简化版...
Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
smellycat000的专栏
11-12 1862
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介Apache Shiro作为Java框架,可被用于身份认证、授权等任务。整合Apache S...
Apache Shiro源码原理解读1
冰冻火山
11-14 908
shiro,源码,原理,流程
shiro工作流程
zlt的博客
02-20 417
1.指定配置文件,配置文件中指定authenticator(认证)类型。初始化生成securityManager,初始化securityManager中的authenticator(认证)和realms(源)。securityManager存储为全局变量。 2.创建或获取subject(用于代表当前用户的实体),线程私有变量,存储于threadlocal上。 3.subject调用login(UsernamePasswordToken)方法,用于模拟用户登录,UsernamePasswordToken代表用
Shiro框架学习笔记(一)shiro简介以及工作流程
lovely__RR的博客
06-30 706
不知道大家在做java web项目的时候有没有想过这个,虽然我们一般做项目时都会选择让用户先注册登录之后才能看到我们项目的具体内容,在知道了内部页面的路径之后我们能够在未登录的情况下,直接在网页中输入我们内部页面的绝对路径访问到呢? 答案当然是可以的,所以这时候就牵扯出了一些问题,我们怎么才能对用户进行身份验证,这样才能确保用户必须登录过后才能浏览相关的界面。这时候就有两种方案,一种是直接通过过滤器实现,在每一用户的请求操作时都检查一遍用户用户是否已经登录,否则就禁止访问,第二种就是我要说的shiro框架。
Apache Shiro简介
qq_32659773的博客
06-02 230
Apache Shiro简介 是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。 官网:http://shiro.apache.org/ 提供的功能 Apache Shiro能做的事情 验证用户 对用户执行访问控制,如: 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 在任何环境下使用 Session API。例如C...
Apache Shiro(一):理论知识部分初识
wang647861136的博客
04-08 560
Apache_Shiro参考手册中文版: 链接:https://pan.baidu.com/s/1fwnHUMDPZhwfbQSVXNRYOw 提取码:ktiy 什么是Apache Shiro? ApacheShiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 ApacheShiro的首要目标是易于使用和理解。安全有时候是很复杂的...
shiro框架的基本工作流程
Dragon_King的博客
03-22 3278
当用户前台登录发起请求时: 1.从shiro中获取subject主体 SecurityUtils.getSubject(); 2.判断当前用户是否认证过了,如果认证过了就放行了 subject.isAuthenticated() 3.如果没有认证过,就把前台传递的账号密码封装为一个UserNamePasswordToken对象, new UsernamePasswordToken(username...
shiro的原理理解
weixin_34061482的博客
04-07 846
1、shiro原理图如下: 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主...
Shiro(一)之shiro简介与工作原理
jokeMqc的博客
01-25 7892
一、shiro简介 这里我先来介绍一下什么是shiroApache ShiroJava 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值