Shiro 框架之登录访问创建session 时的源码解析

最新推荐文章于 2024-07-25 12:08:15 发布
最新推荐文章于 2024-07-25 12:08:15 发布
阅读量523 收藏 1
点赞数
分类专栏: Shiro实战和源码 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nandao158/article/details/119647513
版权

web项目中业务代码入口创建session,自定义Filter 的实现类

1、业务代码入口:

public class CheckSessionFilter implements Filter {

    Logger logger = LoggerFactory.getLogger(CheckSessionFilter.class);
    

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException {
        try {
            XSSRequestWrapper requestWrapper = new XSSRequestWrapper((HttpServletRequest) servletRequest);
            //核心实现代码
            Object userToken = requestWrapper.getSession().getAttribute(Constants.CONST_CAS_USER_TOKEN);
            String token = null == userToken ? null : String.valueOf(userToken);

            MDC.put("logId", UuidUtil.getShortUuid() + ((StringUtil.isNotBlank(token) && SysUserUtil.getUser() != null) ? "U" + SysUserUtil.getUserId() : ""));
            
            filterChain.doFilter(requestWrapper, servletResponse);
        } catch (Exception e) {
            logger.error("PrintLogFilter.e:", e);
            servletResponse.setCharacterEncoding("utf-8");
            servletResponse.getWriter().write(JSON.toJSON(R.error()).toString());
        } finally {
            MDC.clear();
        }

    }

    @Override
    public void destroy() {
    //暂时空实现

    }


}

2、点击 requestWrapper.getSession() 进入:

public class HttpServletRequestWrapper extends ServletRequestWrapper implements
        HttpServletRequest
   @Override
    public HttpSession getSession() {
        return this._getHttpServletRequest().getSession();//点击进入
    }

3、进入

public class ShiroHttpServletRequest extends HttpServletRequestWrapper 
   public HttpSession getSession() {
        return getSession(true);
    }

进入:

public HttpSession getSession(boolean create) {

        HttpSession httpSession;

        if (isHttpSessions()) {
            httpSession = super.getSession(false);
            if (httpSession == null && create) {
                //Shiro 1.2: assert that creation is enabled (SHIRO-266):
                if (WebUtils._isSessionCreationEnabled(this)) {
                    httpSession = super.getSession(create);
                } else {
                    throw newNoSessionCreationException();
                }
            }
        } else {
            if (this.session == null) {

                //核心代码,点击进入
                boolean existing = getSubject().getSession(false) != null;

                Session shiroSession = getSubject().getSession(create);
                if (shiroSession != null) {
                    this.session = new ShiroHttpSession(shiroSession, this, this.servletContext);
                    if (!existing) {
                        setAttribute(REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
                    }
                }
            }
            httpSession = this.session;
        }

        return httpSession;
    }

4、进入

public class DelegatingSubject implements Subject

显示:

进入if语句 

public Session getSession(boolean create) {
        if (log.isTraceEnabled()) {
            log.trace("attempting to get session; create = " + create +
                    "; session is null = " + (this.session == null) +
                    "; session has id = " + (this.session != null && session.getId() != null));
        }

        if (this.session == null && create) {

            //added in 1.2:
            if (!isSessionCreationEnabled()) {
                String msg = "Session creation has been disabled for the current subject.  This exception indicates " +
                        "that there is either a programming error (using a session when it should never be " +
                        "used) or that Shiro's configuration needs to be adjusted to allow Sessions to be created " +
                        "for the current Subject.  See the " + DisabledSessionException.class.getName() + " JavaDoc " +
                        "for more.";
                throw new DisabledSessionException(msg);
            }

            log.trace("Starting session for host {}", getHost());
            SessionContext sessionContext = createSessionContext();
            Session session = this.securityManager.start(sessionContext);//核心代码
            this.session = decorate(session);
        }
        return this.session;
    }

5、点击进入:

public abstract class SessionsSecurityManager extends AuthorizingSecurityManager

public Session start(SessionContext context) throws AuthorizationException {
        return this.sessionManager.start(context);//进入
    }

6、进入:

public abstract class AbstractNativeSessionManager extends AbstractSessionManager implements NativeSessionManager, EventBusAware
 public Session start(SessionContext context) {
        Session session = createSession(context);//进入
        applyGlobalSessionTimeout(session);
        onStart(session, context);
        notifyStart(session);
        //Don't expose the EIS-tier Session object to the client-tier:
        return createExposedSession(session, context);
    }

7、进入

public abstract class AbstractValidatingSessionManager extends AbstractNativeSessionManager
        implements ValidatingSessionManager, Destroyable 
protected Session createSession(SessionContext context) throws AuthorizationException {
        enableSessionValidationIfNecessary();
        return doCreateSession(context);//点击进入
    }

8、进入

public class DefaultSessionManager extends AbstractValidatingSessionManager implements CacheManagerAware 
protected Session doCreateSession(SessionContext context) {
        Session s = newSessionInstance(context);
        if (log.isTraceEnabled()) {
            log.trace("Creating session for host {}", s.getHost());
        }
        create(s);//点击
        return s;
    }

继续:

 

protected void create(Session session) {
        if (log.isDebugEnabled()) {
            log.debug("Creating new EIS record for new session instance [" + session + "]");
        }
        sessionDAO.create(session);//点击进入
    }

 

9、点击

public abstract class CachingSessionDAO extends AbstractSessionDAO implements CacheManagerAware 
 public Serializable create(Session session) {
        Serializable sessionId = super.create(session);//点击
        cache(session, sessionId);
        return sessionId;
    }

10、进入父类

    
    public Serializable create(Session session) {
        Serializable sessionId = doCreate(session);//进入
        verifySessionId(sessionId);
        return sessionId;
    }

11、点击进入子类业务方法

// 创建session,并保存到数据库
    @Override
    protected Serializable doCreate(Session session) {
        Serializable sessionId = super.doCreate(session);
       
        redisTemplate.opsForValue().set(Contans.REDIS_SESSION_KEY + sessionId.toString(), session);
        return sessionId;
    }

12、创建后返回到

public abstract class AbstractNativeSessionManager extends AbstractSessionManager implements NativeSessionManager, EventBusAware 

public Session start(SessionContext context) {
        Session session = createSession(context);
        applyGlobalSessionTimeout(session);//更新session失效时间
        onStart(session, context);
        notifyStart(session);
        //Don't expose the EIS-tier Session object to the client-tier:
        return createExposedSession(session, context);
    }

进入

protected void applyGlobalSessionTimeout(Session session) {
        session.setTimeout(getGlobalSessionTimeout());
        onChange(session);//进入
    }

 

13、进入

public class DefaultSessionManager extends AbstractValidatingSessionManager implements CacheManagerAware
protected void onChange(Session session) {
        sessionDAO.update(session);//进入
    }

14、进入

public abstract class CachingSessionDAO extends AbstractSessionDAO implements CacheManagerAware 
public void update(Session session) throws UnknownSessionException {
        doUpdate(session);//进入业务方法
        if (session instanceof ValidatingSession) {
            if (((ValidatingSession) session).isValid()) {
                cache(session, session.getId());
            } else {
                uncache(session);
            }
        } else {
            cache(session, session.getId());
        }
    }

15、点击进入

// 更新session的最后一次访问时间
    @Override
    protected void doUpdate(Session session) {
        super.doUpdate(session);
        String key = Contans.REDIS_SESSION_KEY + session.getId().toString();
        redisTemplate.opsForValue().set(key, session);
        redisTemplate.expire(key, expireTime, TimeUnit.SECONDS);
    }

到此,这个业务Filter的实现类流程分析完毕,下一篇继续分析其他的过滤器,敬请期待!

寅灯
关注
专栏目录
后台管理系统Springboot+Shiro+JWT+Vue
libin372767477的专栏
10-24 1341
项目开发中,后台系统尤为重要,最近就想搞一套能拿来直接使用的后台管理系统。 框架ShiroShiro作为安全框架,实现登录、登出、身份验证、授权、会话管理。 JWT,Json Web Token负责访问接口的验证。 Vue,前端框架,因为本身不是前端开发,所以Clone了某位高人在github上的模版。写的非常好,简单易用。https://github.com/PanJiaChen/vue-admin-template 前端代码就是照葫芦画瓢,不过很多地方也googl
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 360
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
shiro 手动创建session_Shiro——强大且易用的Java安全框架(四)
weixin_39885683的博客
11-26 264
Shiro】十五、Thymeleaf整合shiro1、添加依赖2、修改index.html访问页面后会发现“有角色”不显示,“有权限”显示。3、修改配置类在配置类中com.bjsxt.config.ShiroConfig中添加。负责解析thymeleaf中shiro:相关属性。4、修改Realm绑定用户具有的角色和权限,相关数据应该是从数据库中取出。十六、使用注解判断方法是否具有权限执行方法:可...
解决 MDCFilter 引起的 Shiro UnavailableSecurityManagerException 异常:将过滤器交给 Shiro 管理
最新发布
ATFWUS的博客
07-25 767
若将自定义的 MDCFilter 注册到 FilterRegistrationBean 中,而又在 MDCFilter 中使用了和 Shiro 相关的操作(如获取当前登录用户),此会因为 MDCFilter 先于 SecurityManager 实例化导致出现 UnavailableSecurityManagerException 的异常,我们只需将 MDCFilter 注册到 Shiro 的过滤器链中即可解决这个问题。
shiro源码学习(二)( Session session = getSession())
weixin_34326558的博客
07-17 453
subject代表用户访问服务器的一些操作:比做登录、登出,查看角色/权限、 同可获取session如:subject.getSession(),该接品,如果之前不存在session,则创建session创建过程大致为: subject委托SecurityManager创建SecurityManager委托SessionManager创建SessionManager通过SessionF...
Shiro框架入门 认证和授权过程实现
iyzhao的博客
07-22 907
1.Shiro安全框架 1Shiro概述 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问,要求系统要对用户进行权限控制,其具体流程如图-1所示: 图-1 2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所示: 图-2 其中: Sub
Shiro详细使用
残影的博客
10-10 1563
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
shiro源码——login方法源码解读
技术专家
04-14 1352
一、shiro认证流程源码 使用shiro框架登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subjec.
Shiro安全验证框架
12-31
本资源包括一套深度解析Shiro的开发视频、源码以及相关文档,旨在帮助开发者深入理解和实践Shiro的安全特性。 1. **身份认证**: Shiro提供了多种认证机制,如基于用户名/密码的认证、API调用认证等。开发者可以...
shiro框架基础--shiro框架概念及原理
m0_69745415的博客
05-10 326
authenticator:认证器,主体进行认证最终通过authenticator进行 authorizer:授权器,主体进行授权最终通过authorizer进行 sessionManager:web应用中一般是用web容器对session进行管理,shiro也提供了一套session管理方式 SessionDao:通过SessionDao管理session数据,以下是SessionDao的方法 public interface SessionDAO { /* 《一线大厂Java面试题解析+后端开发学习笔记
shirosession实现的简单分析
tinysakura的博客
08-28 4836
前阵子对shiro进行分布式环境下的改造跟了一遍源码,当只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 <!-- shiro过滤器 --> <filter> <filter-name&
shiro源码篇 - shirosession创建,你值得拥有
weixin_30746117的博客
10-08 223
前言   开心一刻     开学了,表弟和同学因为打架,老师让他回去叫家长。表弟硬气的说:不用,我打得过他。老师板着脸对他说:和你打架的那位同学已经回去叫家长了。表弟犹豫了一会依然硬气的说:可以,两个我也打得过。老师:......   路漫漫其修远兮,吾将上下而求索!   github:https://github.com/youzhibing   码云(gitee):https:...
shiro session 创建与存储(配有源码解析)
chenghao_w的专栏
12-08 1324
SecurityManager,安全管理器;  即所有与安全相关的操作都会与SecurityManager交互;它管理着所有Subject,所有Subject都绑定到SecurityManager,使用shiro候,首先都会先初始化SecurityManager,配置文件中配置的是DefaultWebSecurityManager,一直super到SessionsSecurityManage...
关于shiro session创建
09-15 88
http://blog.csdn.net/teamlet/article/details/7781684 转载于:https://my.oschina.net/u/2335171/blog...
shiro session_javashiro应用篇——2
weixin_39525933的博客
11-23 162
第十一章 分布式统一权限系统1、系统需求【1】前后端分离在第十章中我们已经实现,使用jwt的令牌实现,重写DefaultWebSessionManager,从ServletRequest获得jwtToken作为会话sessionIdpackage com.itheima.shiro.core.impl;import com.itheima.shiro.utils.EmptyUtil;import ...
shiro 手动创建session_Shiro学习笔记
weixin_39630440的博客
11-26 371
文章目的纯新手,记录一下从0开始学习使用shiro,并且结合手上的demo进行整个完整流程的知识点归纳总结。目前已经实现的功能:整合shiro,完成基本配置,login有什么不对希望多指教。这是一个springboot 2.0 前后端分离项目shiro 是干啥的?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以...
Ext6.x+springmvc+shiro框架下实现session过期跳转到登录页面
zhw19890710的专栏
01-09 2180
1. 在web.xml中添加拦截器,对所有的*.do请求进行过滤 登录过滤器 -->  filter>       filter-name>sessionTimeOutFilterfilter-name>  filter-class>com.psdb.core.base.filter. SessionTimeOutFilterfilter-class> filter> filter
shiro 和 spring boot 的集成
weixin_30564785的博客
07-30 129
1 添加依赖 使用 shiro-spring-boot-web-starter 在 spring boot 中集成 shiro 只需要再添加一个依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter&lt...
Spring Shiro基础组件 Session
我家有猫已长成的博客
02-01 340
Spring Shiro基础组件 Session 简介。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寅灯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值