shiro登录流程源码分析

最新推荐文章于 2022-04-01 09:11:33 发布
最新推荐文章于 2022-04-01 09:11:33 发布
阅读量163 收藏
点赞数
分类专栏: web安全 spring 文章标签: 安全 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moguicy123/article/details/108464070
版权

shiro登录流程源码分析

*关键点:跟踪token的去向

分析整个登录流程,以token去向为线索,层层追踪,直到跟我们自定义的realm验证方法结合。

1.获取Subject实例(实例通常是DelegatingSubject 或者是其子类)

Subject subject = SecurityUtils.getSubject();

2.调用登录

subject.login(token)(这里的token收集方式不重要)
可能是从页面传递上来的用户名和密码或者其他的方式收集的信息,通过:
UsernamePasswordToken token = new UsernamePasswordToken(userName(),password());
获取token,并调用subject.login(token)
这里的subject.login是DelegatingSubject实例的login,所以我们跟踪到DelegatingSubject的login
在该方法中,有源码如下
Subject subject = this.securityManager.login(this, token);

3.调用securityManager.login方法

SecurityManager是一个接口,我们追踪login的方法实现其实现类为:DefaultSecurityManager
方法中的源码如下

info = this.authenticate(token);

4.调用SecurityManager.authenticate方法

SecurityManager实现类DefaultSecurityManager中将token转交给自身实现了Ahthenticator接口的authenticate方法
在此方法中,只有简单的一句代码
return this.authenticator.authenticate(token);

5.调用Authenticator.authenticate方法

在上一步的SecurityManager方法中调用了成员变量authenticatorauthenticate方法。
SecurityManagerAuthenticatingSecurityManager的子类
在该类中实现了SecurityManager的authenticate方法,在实现方法中调用了:authenticator.authenticate(token)
成员authenticatorModularRealmAuthenticator类的实例
这个地方非常关键:也就是在这里,SecurityManager把token转交到realm中进行验证。
这里调用了ModularRealmAuthenticator的方法authenticate
但是authenticate方法的实现是在ModularRealmAuthenticator的父类AbstractAuthenticator中实现的
所以我们现在把视角转到AbstractAuthenticator.authenticate方法中。
AbstractAuthenticator.authenticate方法中,我们看到了token被传递给了自身的方法doAuthenticate
源码如下:
info = this.doAuthenticate(token);

6.调用ModularRealmAuthenticator.doAuthenticate方法

通过源码追踪,我们知道,只有ModularRealmAuthenticator类实现了doAuthenticate方法

到了这里,我们就可以看到一些比较熟悉的代码了:

   protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
   
      this.assertRealmsConfigured();
      Collection<Realm> realms = this.getRealms();
      return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator
最低0.47元/天 解锁文章
末贵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 登录认证码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从码实现的角度去介绍 Shiro登录认证(Authentication)功能。
Shiro原理及分析
lipengyao2010的专栏
07-16 1884
安全管理器的创建是依赖于认证、授权,缓存、数据等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Shiro码解析
qq_31856061的博客
04-01 1191
获取主体、生成认证token Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getUserName(), user.getPassword() ); 进行登录验证 subject.login(usernamePasswordToken); 类:DelegatingSubject 代理主体 里面有 lo
shiro码(二)——login方法码解读
敲代码的小小酥的博客
12-31 3394
一、shiro认证流程码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
Shiro认证过程--分析
↓ ↓ ↓ ↓
03-14 5242
Shiro认证过程分析这篇文章会根据分析一下Shiro实现认证的过程,(不涉及Shiro的Filter对url的处理,只从Subject的login()方法开始分析)注: 配置文件和代码都放在文章最下面准备工作:1.login.jsp: 登录界面,用户在此输入username和password 2.success.jsp: 登录成功的界面3.LoginController: 接收login...
Shiro 视频教程+码+课件
08-29
视频讲授过程中通过分析代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro 他大爷 1.Shiro 简介 2.ShiroHelloWorld 实现 第二章 身份认证 1.Subject 认证主体 2.身份认证流程 第三章 权限认证...
Shiro1.2.2_码(压缩包)
05-29
通过对 Shiro1.2.2 的分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
跟我学shiro文档及
07-17
在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
shiro分析(六)CredentialsMatcher 的案例分析
08-08
在"Shiro分析(六)CredentialsMatcher 的案例分析"这篇博文中,作者深入剖析了Shiro中用于验证用户凭证的`CredentialsMatcher`组件。下面我们将详细探讨这一核心机制及其相关知识点。 1. **CredentialsMatcher...
shiro_ex
06-03
Apache Shiro 是一个强大且易用的Java安全框架,提供...通过阅读和分析码,你可以深入理解Shiro的核心组件和工作流程,为自己的项目构建安全框架打下坚实的基础。记得在实践中不断探索和调整,以适应不同的安全需求。
Shiro用户登录认证、权限授权示例,以及分析(上)
Jekin Blog
01-23 4890
前言   本篇文章主要讲解用户登录认证模块,下节再细讲权限。当然,最后笔者会分享整套码。由于涉及到前端部分,年尾将至,没啥时间整那些,因此,提供的代码只涉及到后台,并且是封装过的,复用性高(但是,天上不会掉馅饼,还是要多敲多看多理解)。没有界面视图,确实理解比较吃力,望各位多多见谅!!! Shiro优势(Thinking)   shiro认证方式,获取前端用户名和密码,实例化对象Use
shiro登录认证 +分析
withawind的博客
07-03 705
最近学习了一下shiro 大体流程是走通了 想了解下码 也好进一步了解其运行原理 首先是登录验证从页面的登陆请求开始 @RequestMapping(value = "/login", method = RequestMethod.POST) public String loginVali() { String username = super....
Shiro系列记录(二)——Shiro登录分析
菜鸟逆袭之路
06-06 193
前言 传送门: Springboot整合Shiro实现登录登出 Shiro知识点概括 1、Shiro如何实现登录? 1.1 请求进入Controller 调用subject.login() 1.2 来到DelegatingSubject类,很明显还是securityManager干活 1.3DefaultWebSecurityManager 该方法里会验证登录信息,如果登录通过会返回登录信息,如不通过则抛出异常;authenticate方法定义在父类AuthenticatingS..
shiro登录分析
日落东山的基地
02-17 180
只截取关键代码 我们通过账户,密码来获取token,使用token来进行登录,然后会写MyShiroRealm继承AuthorizingRealm,在MyShiroRealm写我们登录的业务逻辑。 登录方法web层的 /login  UsernamePasswordToken token = new UsernamePasswordToken(username, pwd); subject...
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
Shiro的实现机制(码解析)
夏牧子的博客
04-02 5746
文章目录什么是shiro? 什么是shiro? shiro
shiro控制用户登录的验证原理
十一的博客
06-05 4494
在前端输入用户名和密码,shiro是如何校验用户的信息完成登录的呢。 UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getUserPwd()); Subject subject = SecurityUtils.getSubject(); subject.login(token); u...
Shiro码研究之处理一次完整的请求
夫礼者的专栏
12-14 3863
经过上一篇博客里的讨论,我们知道了最终被并入到Servlet的FilterChain中的Filter实例为ShiroFilterFactoryBean.SpringShiroFilter类型。而这篇博客就让我们来看看Shiro是如何借助这个Filter来完成权限校验这个庞大功能的? 1. ShiroFilterFactoryBean.SpringShiroFilter类 现在让我们...
shiro学习笔记-Subject#login(token)实现过程
weixin_30446613的博客
02-24 725
本博文所有的代码均为shiro官网(http://shiro.apache.org/)中shiro 1.3.2版本中的码。 追踪Subject的login(AuthenticationTokentoken)方法,其调用的为DelegatingSubject类的login方法,DelegatingSubject实现了Subject接口,DelegatingSubject#login如下: ...
shiro web 登录流程
最新发布
06-09
Shiro Web 登录流程一般分为以下步骤: 1. 用户在 Web 页面中输入用户名和密码,提交表单至服务端。 2. 服务端接收到表单数据后,将用户名和密码封装成一个 UsernamePasswordToken 对象。 3. 然后创建一个 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值